Microsoft Outlook の RCE 脆弱性 CVE-2024-21413：GitHub 上で PoC が公開

PoC Exploit Released for Critical Outlook 0-Click Remote Code Execution Vulnerability

2025/12/01 CyberSecurityNews — Microsoft Outlook に存在する、深刻なリモート・コード実行 (RCE) 脆弱性 CVE-2024-21413 の悪用を実証する PoC エクスプロイト・コードが公開された。この MonikerLink と呼ばれる脆弱性を悪用する攻撃者は、Outlook のセキュリティ機構の保護ビューを回避して、悪意のコード実行や資格情報の窃取を可能にする。

この PoC の公開が示すのは、脆弱性 CVE-2024-21413 (CVSS：9.8) が重大なリスクとなり得る点である。したがってセキュリティ専門家は、このツールを有効活用することで、Outlook の攻撃ベクターを理解できるようになる。

Microsoft Outlook における、特定のハイパーリンクを解析する方式に、この MonikerLink 脆弱性は起因する。通常、Outlook の保護ビューは、インターネット上のファイルなどの潜在的に有害とされるコンテンツを、読み取り専用モードで開くものである。

しかし、MonikerLink の脆弱性が存在すると、”file://” プロトコルに感嘆符と追加テキストを付加した、特別に細工されたリンクを使用する攻撃者は、この保護を回避できる。

そして、被害者が悪意のリンクをクリックすると、Outlook は通常のセキュリティ警告を表示せずにリソースへのアクセスを開始する。この動作により、攻撃者が管理するサーバへの SMB 接続がトリガーされ、被害者のローカル NTLM 認証情報が漏洩する可能性があるという。

さらに深刻なケースでは、保護ビュー回避によりリモート・コード実行を引き起こした攻撃者により、侵害されたシステムの広範な制御が奪われる恐れがある。こうした状況を検証するために、Python ベースの PoC が GitHub で公開され、管理されたラボ環境での脆弱性 CVE-2024-21413 の悪用方法が共有されることになった。

このスクリプトは、hMailServer を含む特定のコンフィグで動作するよう設計され、脆弱なバージョンの Outlook を実行するユーザーを標的とするものだ。具体的にいうと、MonikerLink を含む悪意あるメールを、被害者の受信トレイに送信するプロセスを自動化するものである。PoC の作者が指摘するのは、教育目的でテストを簡素化するため、このスクリプトでは、TLS が無効化されたコンフィグを想定している点である。

このコードは基本的なものであり、TryHackMe プラットフォームの MonikerLink を追求するユーザーなどを対象とし、攻撃の仕組みを効果的に示すものとなっている。より高度で発展したエクスプロイト・ツールを求めるユーザーには、セキュリティ研究者 Xaitax のリポジトリなどが代替リソースとして挙げられている。

緩和策

防御側は、メール・トラフィック内の特定パターンを監視することで、この脆弱性の悪用試行を検知できる。セキュリティ研究者 Florian Roth は、このエクスプロイトで使用されている “file:\\” 要素を含むメールを識別する YARA ルールを公開している。このルールを活用する組織は、MonikerLink の脆弱性を悪用する不審なメッセージを検知し、エンドユーザーに届く前に排除できる。

すでに Microsoft は、CVE-2024-21413 に対処する公式更新プログラムを提供している。したがって、組織に強く推奨されるのは、これらのパッチを迅速に適用することである。

この PoC エクスプロイト・コードが公開されたことで、それが教育目的であるにしても、脅威アクターが類似の手法を採用する可能性が高まる。

セキュリティ・チームにとって必要なことは、すべての Microsoft Office インスタンスを最新の状態に保ち、送信 SMB トラフィック (ポート 445) を遮断することを検討し、外部サーバへの NTLM 認証情報漏洩を防ぐことである。

Outlook が持つリンク解析の仕組みが悪用される点に、この問題の核心があります。本来なら、保護ビューが危険なファイルを安全に扱うはずですが、MonikerLink の特殊な形式を使われると、その保護機能が回避されてしまいます。結果として、ユーザーがリンクをクリックしただけで、NTLM 認証情報が外部に送られてしまうという深刻な状況にいたると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Outlook での検索結果も、ご参照ください。