CVE-2024-38021: Zero-Click Vulnerability Discovered in Microsoft Outlook
2024/07/09 SecurityOnline — Microsoft Outlook アプリケーションに影響を及ぼす、深刻なゼロクリック・リモート・コード実行 (RCE:remote code execution) の脆弱性 CVE-2024-38021 を、Morphisec の研究者たちが発見した。この脆弱性は、被害者のシステム上でユーザー操作を必要とせずに、攻撃者に悪意のコード実行を許す、きわめて危険な脅威となっている。
過去に公開された CVE-2024-30103 の悪用では認証を必要となっていたが、新たに発見された脆弱性 CVE-2024-38021 は、信頼できる送信者からの単純な電子メールを介した悪用が可能となるため、信じられないほど簡単に、攻撃者は広範な攻撃を仕掛けられる。
Microsoft は、この脆弱性の脅威度を “Important” と評価している。しかし、Morphisec の研究者たちは、ゼロ・クリックの特性と広範囲に影響を及ぼす可能性があることから、脅威度を “Critical” と再評価するよう Microsoft に求めている。この脆弱性は、ユーザーの操作なしにリモート・コード実行が可能なため、データ漏洩/不正アクセスなどの悪意のアクションへとつながる、重大なリスクである。
Morphisec は、CVE-2024-30103/CVE-2024-38021 の技術的詳細と PoC エクスプロイト・コードを、8月11日からラスベガスで開催される DEF CON 32 conference で発表する予定だ。そのプレゼンテーション “Outlook Unleashing RCE Chaos: CVE-2024-30103 & CVE-2024-38021” は、Michael Gorelik と Arnold Osipov により行われ、脆弱性と潜在的な影響について深く掘り下げた内容となるだろう。
すでに Microsoft は、July 2024 Patch Tuesday の更新プログラムの一部として、CVE-2024-38021 に対するパッチをリリースしている。また、このアップデートには、他の4つのゼロデイ脆弱性 CVE-2024-38112/CVE-2024-38080/CVE-2024-35264/CVE-2024-37985 に対するパッチも含まれている。ユーザーに強く求められるのは、これらのアップデートを直ちに適用し、システムを保護することである。
さらにユーザー組織には、パッチの適用に加えて、電子メールの自動プレビューを無効化するなどの、強固なメール・セキュリティ対策の実施が推奨される。また、未知の送信元または疑わしい送信元からの、電子メールを開くことのリスクについて、ユーザーを教育すべきだ。
現時点において、Microsoft のリファレンスでは、Exploit:No となっていますが、ゼロクリックは怖いですよね。攻撃対象が広範であり、しかも、悪用の成功率が高いので、影響の広がりが懸念されます。2024年7月の Patch Tuesday が適用されていることを、ご確認ください。よろしければ、Outlook で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.