Microsoft Outlook のゼロ・クリック脆弱性 CVE-2024-38021:NTLM 情報漏えいが生じる恐れ

Researcher Details Microsoft Outlook Zero-Click Vulnerability (CVE-2024-38021)

2024/08/20 SecurityOnline — Morphisec の研究者たちが公開したブログは、 Microsoft Outlook の脆弱性 CVE-2024-38021 (CVSS:8.8) について詳述するものだ。この脆弱性の悪用に成功した攻撃者は、脆弱なシステム上において、リモート・コード実行を行う可能性を得るという。Microsoft Outlook が、エンタープライズ環境において広く使用されていることを考えると、この欠陥は重大な脅威となる。この脆弱性は、Outlook の以前の脆弱性 CVE-2024-21413 を思い出させるものであり、未解決の NTLM 認証情報の漏洩も残されているため、ユーザーはリスクにさらされている。


Microsoft Outlook の脆弱性 CVE-2024-38021 は、電子メールの画像タグ内における、ハイパーリンク・オブジェクトの扱い方に起因する。この欠陥を悪用する攻撃者は、複合 Moniker (file moniker と item moniker を組み合わせたもの) を使用して、不正なハイパーリンクの作成が可能になる。続いて、その 複合 moniker が Outlook により処理されると、一連のイベントが引き起こされ、リモート・コード実行 (RCE) へとつながっていく。

Image: Morphisec

この脆弱性は、複合 Moniker に対する、MkParseDisplayName 関数における安全ではない解析に関連している。脆弱性 CVE-2024-21413 に対する修正では、セキュリティ・フラグ “BlockMkParseDisplayNameOnCurrentThread” が実装され、複合 Moniker に対する不完全な解析が緩和された。しかし、Morphisec の研究者たちが発見したのは、画像タグ内の URL を処理する HrPmonFromUrl メソッドが、この保護フラグを設定していないため、悪用の可能性が残されていることだった。つまり、前回の修正は不完全だったことになる。

Morphisec の調査結果で明らかになったのは、Microsoft による CVE-2024-21413 へのパッチ適用の後にも、攻撃者は画像タグの URL 内に複合 Moniker を埋め込むことで、この脆弱性の悪用が可能だったことだ。このバイパスにより、安全ではない “MkParseDisplayName” 関数が呼び出され、RCE 攻撃やローカル NTLM 認証情報の漏洩の可能性が生じる。

Image: Morphisec

この脆弱性が懸念されるのは、悪意の画像タグを取り込んだメールを開くだけで問題が誘発されるからだ。ひとたび、この脆弱性が悪用されると、攻撃者はシステムを制御し、任意のコマンドを実行し、機密情報を盗み出すことが可能になる。

CVE-2024-38021 の発見を受けて、Microsoft はパッチを発行し、”BlockMkParseDisplayNameOnCurrentThread” フラグの使用を HrPmonFromUrl 関数にまで拡張した。この更新は、画像タグ内における複合 Moniker の不完全な解析を防止し、リモートコード実行のリスクの軽減を目的としている。

Image: Morphisec

しかし、Morphisec の新たな分析により、重大な見落としがあることが浮き彫りになった。このパッチは、複合 Moniker に関連する特定の攻撃ベクターに対応しているが、NTLM クレデンシャルの漏洩という根本的な問題には完全に対処していない。単純な file moniker が渡された場合であっても、クレデンシャルが暴露される可能性があり、未解決のセキュリティ・ギャップが依然として残されている。

つまり、Microsoft Outlook を使用している組織においては、パッチ未適用の NTLM 認証情報漏えいのリスクが継続していることになる。この脆弱性を悪用する攻撃者は、NTLM ハッシュを取得して再利用できるのだ。

Morphisec は、この問題の深刻さを懸念している。そして、Officeアプリケーションを定期的にアップデートし、パッチ適用プロセスに対する警戒を維持するよう、ユーザー組織に促している。最新のパッチにより、RCE のリスクは軽減されたが、NTLM 漏洩は依然として攻撃可能なベクターであり、敵対者により悪用される可能性が残っている。

ちょっとややこしい話ですが、Microsoft Outlook の脆弱性 CVE-2024-38021 の修正は不完全であり、NTLM 漏洩の問題が残されているとのことです。2024/07/09 の「Microsoft Outlook のゼロ・クリック脆弱性 CVE-2024-38021:攻撃は信じられないほど簡単」には、8月の DEFCon で PoC が公開の予定と記されています。それを受けての、今日の記事なんだろうと思います。よろしければ、Outlook で検索も、ご利用ください。