Microsoft Outlook のバグが FIX:2023年12月の Patch Tuesday で取り込まれた問題とは?

Microsoft fixes Outlook security alerts bug caused by December updates

2024/04/04 BleepingComputer — Microsoft が修正した問題は、2023年12月の Outlook Desktop のセキュリティ更新プログラムをインストールした後に、.ICS (Internet Calendaring and Scheduling) カレンダー・ファイルを開くと、Outlook のセキュリティ警告が誤って表示されるというものである。これらの誤った警告の背後にあるのは、2023年12月の Patch Tuesday のセキュリティ更新プログラムである。そのときに修正された、Microsoft Outlook の情報漏洩の脆弱性 CVE-2023-35636 は、悪意を持って細工されたファイルを介して、NTLM ハッシュの窃取に悪用されるというものだ。


それらのデータは、Windows ユーザーの認証情報として、pass-the-hash 攻撃で悪用され得る。したがって、機密データへのアクセスや、ネットワーク上での攻撃の横展開が、引き起こされることになる。

この問題の影響を受ける Microsoft 365 ユーザーが、ローカルに保存された ICS ファイルをダブル・クリックすると、警告ダイアログ・ボックスが表示される。そこに記されているメッセージは、「Microsoft Office が潜在的なセキュリティ上の懸念を特定した」や、「この場所は安全でない可能性がある」といったものだ。

この問題が最初に認められた 2024年2月の時点で、Microsoft Outlook チームは、「.ICS ファイルを開く際に、このような動作が発生することは想定されていない。これはバグであり、将来のアップデートで対処される予定だ」と述べていた。

現時点において、Microsoft は問題点を探し出し、そのための修正プログラムを、Outlook for Microsoft 365 のバージョン 2404 ビルド 17531.20000 として、Beta Channel で提供している。Office の Insider Channel に参加している場合には、この問題をテストすることが可能となっている。

Microsoft Outlook ICS security notice
Microsoft Outlook ICS security notice (Tim Benedict)

Current Channel ユーザーは、この問題の修正プログラムを、4月30日に受け取ることができる。この修正は、プロダクション環境でテストされた後の、2024年6月の Patch Tuesday において、Semi-Annual Enterprise Channel (Preview) 用のバージョン 2402 に対してバックポートされる予定である。

この問題の影響を受ける、すべてのユーザーに対して修正がリリースされるまでの期間においては、レジストリキーを用いて、誤ったセキュリティ通知を一時的に無効化できる。

ただし、この回避策が適用されると、他のすべての潜在的に危険なファイル・タイプに対しても、セキュリティ・プロンプトが表示されなくなるため、注意が必要である。

この回避策を適用するには、新しい DWORD キーに対して 値 “1” を追加する必要がある:

  • HKEY_CURRENT_USER\software\policies\microsoft\office\16.0\common\security (Group Policy registry path)
  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Security (OCT registry path)

先月にも Microsoft は、一部の Outlook デスクトップ・クライアントにおいて、Exchange ActiveSync を介した電子メール・サーバとの同期が停止されるという、Outlook の別の問題を修正している。

さらに同社は、2024年2月の時点で、デスクトップとモバイルの電子メール・クライアントにおいて、Outlook.com 接続の問題の背景となるバグに対処している。

ちょっと、ややこしい話ですね。2023年12月のセキュリティ更新プログラムで、Outlook Desktop にバグが混入してしまい、それが 2024年6月の Patch Tuesday で解消されるとのことです。それまでの間、.ICS カレンダー・ファイルを開くと、Outlook のセキュリティ警告が誤って表示されるようであり、そこから NTLM ハッシュの窃取にいたる恐れもあるとのことです。文中に緩和策も提供されているので、ご参照ください。よろしければ、Outlook で検索も、ご利用ください。