Microsoft Patches Outlook Zero-Click: CVE-2025-21298 Exploits RCE via Emails
2025/01/15 SecurityOnline — Microsoft は、最新のPatch Tuesday 2025 January で、Microsoft は Outlook の深刻な脆弱性 CVE-2025-21298 (CVSS:9.8) に対処した。この欠陥を悪用する攻撃者は、特別に細工した電子メールを介して、Windows デバイス上でリモート・コード実行 (RCE) を達成できる。この Microsoft Outlook の脆弱性は、電子メールのセキュリティに重大な影響を及ぼすものである。
この脆弱性は、ドキュメントなどの埋め込みオブジェクトとのリンクを可能にする、Windows Object Linking and Embedding (OLE) に存在する。Microsoft の説明は、「この脆弱性の悪用に成功した攻撃者は、影響を受けるバージョンの Microsoft Outlook で、特別に細工した電子メールのオープン/プレビュー表示を、ユーザーに促す可能性を手にする。この悪用シナリオは、この脆弱性 CVE-2025-21298 の性質を引き出すものである」という内容である。
攻撃者は、悪意の電子メールを被害者に送信することで、この脆弱性を悪用できる。つまり、悪意の電子メールが Microsoft Outlook でオープン/プレビューされると、埋め込まれた OLE オブジェクトにより、被害者のマシン上でのリモート・コード実行がトリガーされる可能性が生じる。このタイプの攻撃は、メールを表示する以外に、ユーザーによる操作を必要としないため、きわめて危険である。
この脆弱性 CVE-2025-21298 は、Trend Micro – Zero Day Initiative の研究者である Jmini/Rotiple/D4m0n により発見された。
Microsoft は、ただちにパッチ適用できないユーザーのために、いくつかの回避策を提供し、悪用のリスクを軽減している:
最小権限の原則を適用する:ユーザーの権限を制限して、悪用が成功した場合の影響を制限する。
プレーン・テキスト形式でメールを読む:Microsoft Outlook のコンフィグで、プレーン・テキスト形式でのメール表示を設定すると、悪意の OLE オブジェクトがトリガーされるリスクが軽減される。ただし、画像や特殊なフォントなどのリッチ・コンテンツが正しく表示されないため、ユーザビリティに影響が報じる可能性がある。すべてのメールをプレーン・テキストで読むための、Outlook コンフィグの詳細については、Microsoft のドキュメント “Read email messages in plain text” を参照してほしい。
信頼できないソースからの RTF ファイルを避ける:リッチ・テキスト形式 (RTF) の添付ファイルや、不明な送信者からのコンテンツを含む電子メールに対して、注意することが推奨される。
メールにエンベッドされた OLE オブジェクトが関連する、Outlook の脆弱性が FIX とのことです。文中にもあるように、この脆弱性は、Patch Tuesday 2025 January で FIX しています。パッチの適用漏れに、ご注意ください。よろしければ、Outlook で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.