Microsoft finally fixes Outlook alerts bug caused by December updates
2024/07/16 BleepingComputer — Outlook の 2023年12月のセキュリティ更新プログラムをインストールした後に、Microsoft Outlook Desktop に不正なセキュリティ警告が表示される問題が、昨日になって、ようやく修正された。2月上旬から Microsoft が調査を進めていたのは、ICS (Internet Calendaring and Scheduling) ファイルをダブルクリックすると、予期せぬ警告が表示されるという報告に関するものだ。具体的に言うと、誤ったメッセージである、「この場所は安全でない可能性がある」や、「Microsoft Officeは潜在的なセキュリティ上の懸念を特定した」が表示されると、多数の Microsoft 365 ユーザーから指摘されていたのだ。
前述のとおり、この警告は、Outlookのセキュリティ更新プログラムにより引き起こされたものだ。そのときのアップデートの内容は、脆弱性 CVE-2023-35636 を修正するものであり、それを悪用する攻撃者は、細工されたファイルを用いて NTLM ハッシュを盗むことが可能なるという、情報漏えいに対するものだった。
盗み出した NTLM ハッシュを悪用する攻撃者は、Windows システム上での Pass the Hash 攻撃や、機密データへのアクセスに加えて、ネットワーク内での横移動などを可能にする。
Microsoft は、この問題を 4月上旬に修正したが、ベータ・チャネルで Office Insiders 向けにリリースした後にロールバックしている。同社の Outlook チームは、インサイダー向けにテストしている最中に、この修正の問題点が発見されたと述べている。
そして 7月15日に、その時のサポート文書がアップデートされた。同社は、この既知の問題が 、7月9日の Outlook Desktop のパブリック・アップデートで、最終的に修正されたとしている。
Microsoft が推奨しているのは、セキュリティ通知を無効化するための、レジストリ・キーの追加という回避策の取り消しである。この回避策を適用したユーザーは、それを元の状態に戻してから、パッチを適用した Outlook ビルドをインストールする必要がある。
同社は、「レジストリ・キーを設定して。セキュリティ通知を一時的に無効にした場合には、それらを削除した後に、最新の修正プログラムによる問題の解決が確認される。レジストリ・キーを使用する場合は、”.ICS (Internet Calendaring and Scheduling)” ファイルだけではなく、すべての種類のファイル対して、セキュリティ通知プロンプトが停止されることに注意してほしい」と説明している。
最近の Microsoft だが、2024年5月には、Outlook Desktop クライアントを使用して暗号化された電子メールに対して、Microsoft 365 ユーザーが返信できないというバグの、一時的な修正を共有している。
さらには 7月には、Outlook の個人メール・アカウントにおけるベーシック認証の廃止を、9月16日まで延期することが発表されている。
この問題に関しては、2024/02/05 の「Outlook の iCalendar セキュリティ誤検知:脆弱性 CVE-2023-35636 修正で紛れ込んだバグ」詳しく解説されていますので、そこらも ご参照ください。よろしければ、CVE-2023-35636 で検索も、ご利用ください。なお、この脆弱性に対しては、PoC もリリースされています。
IoT OT Security News 
You must be logged in to post a comment.