Critical Microsoft Outlook Flaw Enables Remote Execution of Arbitrary Code
2025/05/14 gbhackers — Microsoft Outlook で新たに発見された、脆弱性 CVE-2025-32705 を悪用する攻撃者は、メモリ破損を引き起こし、侵害を受けたシステム上での任意のコード実行の機会を得る。
この脆弱性に対する Microsoft による分析は、深刻度 (CVSS v3.1:7.8:Important) と、境界外読み取り (CWE-125) であり、最小限のユーザー操作を必要とする局所的な攻撃に、このメール・クライアントは直面する可能性がある。
世界中で4億人を超える企業ユーザーが、Outlook を利用するという状況において、この脆弱性が浮き彫りにするのは、広く導入されている生産性向上ソフトウェアにおける根深いリスクである。
この脆弱性は、細工されたメールの内容やカレンダーの招待状を解析する際の、不適切なメモリ処理に起因する。
この脆弱性の悪用に成功した攻撃者は、割り当てられたバッファ境界を超えたデータの読取りを達成し、任意のコード実行のためのゲートウェイを、標的システム上で作成できる。
ネットワークベースのエクスプロイトとは異なり、この脆弱性は AV:L (ローカル攻撃) コンテキストを介して動作し、通常においては、悪意のファイルまたはメッセージを、被害者に開かせることが必要になる。
Microsoft の CVSS 評価では、重要な指標が明らかになっている。攻撃の複雑さが低い (AC:L)/権限を必要としない (PR:N) ことにより、悪用における障壁が低くなっている。
UI:R (ユーザーによる操作が必要) という制約があるが、攻撃が成功するとシステム全体が侵害され、技術的影響に関する CVSS のテンポラルス・ケール (C:H/I:H/A:H) では、9.1 という高い評価がくだされている。
セキュリティ・アナリストたちが指摘するのは、Outlook を予定表やタスク管理に使用する企業にとって、この脆弱性が脅威となる点である。これらの企業では、自動プレビュー機能が用いられるため、明示的なファイル・オープンが実行されなくても、この脆弱性が悪用される可能性が生じる。
悪用メカニズムの技術分析
不正な MIME 添付ファイルまたは vCalendar コンポーネントを処理する際に、Outlook のメッセージ・レンダリング・エンジンでメモリ破損が発生する。Content-Length ヘッダーの操作や、サイズの大きい ICS ファイル要素の埋め込みにより、攻撃者は隣接するメモリ領域を上書きできる。
概念実証コードは、巧妙に構造化されたメール本文が Outlook の保護されたビュー サンドボックスを回避し、ログインユーザーのコンテキストでシェルコード実行を可能にすることを実証している。
このエクスプロイト・チェーンで悪用されるのは、以下の主要なステップである:
- ペイロード配信:悪意のカレンダー招待または RTF ドキュメントを取り込んだフィッシング・メール。
- メモリ破損:添付ファイルのメタデータを適切に検証せず、Outlook がバッファ・オーバーリードを発生させる。
- 制御フロー・ハイジャック:細工されたポインタが、攻撃者が制御するコード・セグメントに対して実行をリダイレクトする。
ただし、(UI:R) 要件があるため、攻撃の前提として、ユーザーに悪意のコンテンツを完全に開かせなくても、プレビューするように仕向ける必要がある。この手口は、認証情報収集キャンペーンで多用される手法である。
Microsoft のアドバイザリでは、この脆弱性が影響を及ぼす範囲について、2019〜2025 ビルド (2025年5月のパッチ適用前) の、すべての Outlook バージョンに影響することが確認されている。
緩和戦略と Microsoft の対応
すでに Microsoftは、Patch Tuesday 13 May 2025 でセキュリティ更新プログラムをリリースし、Outlook オブジェクト・モデルのメモリ境界チェックを強化し、この脆弱性に対処している。
速やかなパッチ適用が不可能な企業は、以下の対策を講じてほしい。
- Group Policy の有効化による、自動プレビュー・ウィンドウを無効化する。
- 予備的な修正を取り込んだ Office Insider Slow Channel ビルド 14628.20204 以降を適用する。
- ICS ファイルを取り込んだ、外部の送信者からのメールを隔離するよう、Exchange Online をコンフィグする。
この脆弱性は “悪用される可能性は低い” と評価されている。しかし CERT/CC が推奨するのは、この脆弱性の技術的障壁は低く、潜在的な影響が大きいため、更新プログラムの適用を優先することである。
Microsoft Defender for Office 365 は、不規則な MIME 構造を持つメールに対して、”高リスク” のフラグを付けるようになった。また、Proofpoint や Mimecast などのサードパー・ティベンダーは、エクスプロイト・パターンを検出するために、メール・セキュリティ・ゲートウェイを更新している。
2025年5月14日の時点において、アクティブなエクスプロイトや公開情報は確認されていない。しかし、この脆弱性の局所的な攻撃ベクターと、Outlook と OS との深い統合があるため、企業のセキュリティ・チームは重要アップデートとして認識すべきである。
2025年5月の Patch Tuesday で修正された、Microsoft Outlook の脆弱性 CVE-2025-32705 ですが、悪意のコンテンツを開かなくても自動プレビュー機能によってトリガーされる可能性があるという、厄介なものです。この脆弱性が影響を及ぼす範囲は 2019〜2025 ビルド (2025年5月のパッチ適用前) と広範に及びます。ご利用のチームは、アップデートおよび緩和策の実施をお急ぎください。また、同じく Patch Tuesday で修正された、他の脆弱性の記事も投稿しています。よろしければ、Microsoft で検索と併せて、ご参照下さい。
2025/05/14:Microsoft Active Directory CS の脆弱性 CVE-2025-29968
2025/05/14:Windows RD Gateway の脆弱性 CVE-2025-26677/29831
2025/05/14:Microsoft Defender の脆弱性 CVE-2025-26684
2025/05/14:Microsoft Scripting Engine の脆弱性 CVE-2025-30397
2025/05/14:Windows RDP の脆弱性 CVE-2025-29966/29967
2025/05/13:Microsoft 2025-05 月例アップデート:72件の脆弱性に対応
IoT OT Security News 
You must be logged in to post a comment.