重要なMicrosoft OutlookのRCEバグが攻撃で積極的に悪用されている

サイバーセキュリティ企業Check Pointは、Microsoft Outlookにおいて重大なリモートコード実行（RCE）脆弱性が発見され、現在進行中のサイバー攻撃で悪用されていることを報告しています。これは、世界中の組織にとって重大な脅威となっています。

これを受けて、サイバーセキュリティおよびインフラストラクチャセキュリティ庁（CISA）は、米国連邦機関に対し、こうした進行中の攻撃からシステムを保護するよう警告しています。

Check Pointの脆弱性研究者Haifei Liは、CVE-2024–21413として追跡される高危険度のRCE脆弱性を発見しました（CVSSスコア9.8）。

この欠陥は不適切な入力検証に起因し、脆弱なMicrosoft Outlookバージョンを使用して悪意のあるリンクを含むメールを開くときにコード実行を引き起こす可能性があります。

この脆弱性が成功裏に悪用されると、脅威アクターはOffice保護ビューを回避し、保護モードではなく編集モードで悪意のあるファイルを開くことができます。

また、脅威アクターに特権を与え、データの読み取り、書き込み、削除を行う能力を付与する可能性もあります。

Microsoftは1年前にCVE-2024–21413の脆弱性に対処し、プレビューウィンドウ自体が攻撃ベクターとなる可能性があることに注意を促しました。

その結果、Outlook内で悪意のあるメールを単に表示するだけで、エクスプロイトを引き起こす可能性があり、非常に危険です。

Check Pointによると、攻撃者はMoniker Linkと呼ばれる脆弱性を悪用しており、これはOutlookを騙して安全でないファイルを開かせる方法です。

これにより、攻撃者はファイル://プロトコルを使用してメールに埋め込まれた悪意のあるリンクに対するOutlookの組み込み保護を回避することができます。

攻撃者は、ファイルURLに任意のテキストに続いて感嘆符を追加することで、Outlookに悪意のあるファイルを信頼されたリソースとして扱わせることができます。

攻撃者は、攻撃者が制御するサーバーを指すURLのファイル拡張子の直後にこの感嘆符を挿入し、いくつかのランダムなテキストを追加することで、システムを欺いて悪意のあるペイロードを実行させることができます。

たとえば、攻撃者は以下のようなリンクを作成するかもしれません：

クリックして下さい

被害者がリンクをクリックすると、Outlookは攻撃者のサーバーからファイルを取得し、特権を持って実行し、攻撃者にシステムの制御を与えます。

CVE-2024-21413の脆弱性は、Microsoft Office LTSC 2021、Microsoft 365 Apps for Enterprise、Microsoft Outlook 2016、Microsoft Office 2019など、複数のMicrosoft Office製品に影響を与えています。

この脆弱性の悪用が進行中であることを受けて、CISAはCVE-2024-21413を既知の悪用脆弱性（KEV）カタログに追加しました。

2021年11月のバインディングオペレーショナルディレクティブ（BOD）22-01に従い、連邦機関には2025年2月27日までにシステムをパッチし、潜在的な脅威からネットワークを保護する時間が与えられています。

「この種の脆弱性は悪意のあるサイバーアクターによる頻繁な攻撃ベクターであり、連邦企業にとって重大なリスクをもたらします」とサイバーセキュリティ機関は木曜日に警告しました。

悪用が進行中であるため、CVE-2024-21413はOutlookユーザーにとって深刻なセキュリティリスクを提示しています。

したがって、民間組織は直ちにパッチを適用し、潜在的な侵害を防ぐためにサイバーセキュリティ防御を強化することが推奨されます。