CVE-2024-38200: Zero-Day Vulnerability in Microsoft Office: A Call for Urgent Action
2024/08/11 SecurityOnline — 8月8日に公表されたアドバイザリで Microsoft は、同社の Office ソフトウェア・スイートの複数のバージョンに影響を及ぼす、深刻度の高いゼロデイ脆弱性を公表した。その脆弱性 CVE-2024-38200 (CVSS:7.5) の悪用に成功した攻撃者は、NTLM ハッシュなどの機密情報への不正アクセスを達成し、ネットワーク全体を侵害する可能性を手にする。
この脆弱性は情報漏洩の弱点に起因しており、保護されるべき機密情報へのアクセスを、未承認の脅威アクターに許してしまう可能性がある。とりわけ、この脆弱性は Web ベースの攻撃シナリオで悪用される可能性が高く、攻撃者の手口として挙げられるものには、侵害済み Web サイトのホストや、悪意のファイルの配布などがある。
ただし、攻撃者にとっての前提条件として、悪意の Web サイトへの訪問や、悪意のファイルの開封などを、ユーザーに行わせることが必要となる。したがって、電子メールやインスタントメッセージを介してターゲットを誘惑するなどの、ソーシャルエンジニアリングの手口を用いて、ユーザーにリンクをクリックさせる必要が生じる。
Microsoft アドバイザリは、この脅威の性質について、さらなる洞察を提供している。同社は8月10日に、脆弱性 CVE-2024-38200 がゼロデイであることを認めている。この公表により、影響を受けるバージョンの Office を使用している組織は、欠陥が完全に修正されるまで、リスクが高まることが判明した。
影響を受けるバージョンは以下の通りである:
- Microsoft Office 2016 (32/64-bit)
- Microsoft Office 2019 (32/64-bit)
- Microsoft Office 2021 (32/64-bit)
- Microsoft 365 Apps for Enterprise (32/64-bit)
脆弱性 CVE-2024-38200 に対する正式なパッチは、Microsoft の Patch Tuesday の一環として、8月13日にリリースされる予定である。ただし Microsoft は、7月30日の時点で Feature Flighting による代替修正を実施し、Office/Microsoft 365 のバージョンで有効化している。
Microsoft が強調しているのは、この対策あ一時的な安全策であり、最終的なパッチが提供されたらただちに適用し、包括的な保護を確実に行うことが重要だという点だ。
Microsoft は、CVE-2024-38200 が悪用される可能性は低いとしているが、ユーザーや組織にとって、警戒することが重要であることに変わりはない。さらにリスクを軽減するために、Microsoft は以下の3つの一時的な戦略を推奨している:
- ネットワーク・セキュリティの設定:“Network Security: Restrict NTLM: Outgoing NTLM traffic to remote servers” のポリシー設定を実装する。それにより組織は、 Windows 7/Windows Server 2008 以降のシステムにおいて、リモート Windows サーバへ向けた NTLM 発信トラフィックをブロック/監査できる。
- 保護ユーザー・セキュリティ・グループ: ユーザーを保護ユーザー・セキュリティ・グループに追加することで、NTLM が認証メカニズムとして使用されるのを防ぎ、攻撃対象領域を縮小する。
- アウトバウンド TCP 445/SMB ブロック: 境界ファイアウォール/ローカルファイアウォール/VPN コンフィグを組み合わせて、アウトバウンド TCP 445/SMB トラフィックをブロックする。この対策により、NTLM 認証メッセージがリモートのファイル共有に送信されなくなり、潜在的な悪用の試みを阻止できる。
8月12日に Patch Tuesday を控える状況で、急ぎのアドバイザリが出てくると、ちょっと心配になります。参照してみましたが、Exploited = Non になっていて、ひと安心です。よろしければ、Office で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.