マイクロソフト、Officeのゼロデイ脆弱性がデータ漏洩につながる可能性を警告

マイクロソフトは、いくつかのOfficeおよび365エンタープライズ製品に影響を与える高Severityのゼロデイ脆弱性を開示しました。この脆弱性に対するパッチはまだ開発中です。

CVE-2024-38200として追跡されるこの脆弱性は、ハッカーが個人や組織からプライベートで保護されたデータを盗むために簡単に悪用できる情報漏洩の弱点によって引き起こされます。これには、システムの状態や環境または構成データ、ネットワークの状態や構成データ、接続メタデータが含まれます。

ゼロデイ脆弱性（CVE-2024-38200）は、以下の製品に影響を与えます：

• Microsoft Office 2016（32ビットおよび64ビット）

• Microsoft Office 2019（32ビットおよび64ビット）

• Microsoft Office LTSC 2021（32ビットおよび64ビット）

• Microsoft 365 Apps for Enterprise（32ビットおよび64ビット）

マイクロソフトの悪用可能性評価によると、CVE-2024-38200の悪用の可能性は「低い」とされていますが、MITREはこの種の弱点の悪用の可能性が高いと示唆しています。

「ウェブベースの攻撃シナリオでは、攻撃者は脆弱性を悪用するように設計された特別に作成されたファイルを含むウェブサイトをホストする（またはユーザー提供のコンテンツを受け入れるまたはホストする妥協されたウェブサイトを利用する）ことができます」とマイクロソフトのアドバイザリーは説明しています。

「ただし、攻撃者はユーザーにウェブサイトを訪問させる方法がありません。代わりに、攻撃者は通常、メールやインスタントメッセンジャーメッセージの魅力によってユーザーにリンクをクリックさせ、その後特別に作成されたファイルを開くようにユーザーを説得する必要があります。」

現在、マイクロソフトはこのゼロデイ脆弱性に対処するためのセキュリティ更新プログラムを開発中ですが、リリース日を発表していません。

マイクロソフトは、CVE-2024-38200の発見をPrivSec Consultingのセキュリティコンサルタントであるジム・ラッシュ氏と、Synack Red Teamのメンバーであるメティン・ユヌス・カンデミール氏に帰属させています。

この脆弱性に関する詳細情報は、ラッシュ氏が今後のDefconトーク「NTLM – The last ride」で提供する予定ですと、PrivSecのマネージングディレクターであるピーター・ヤコウェッツ氏はBleepingComputerに語りました。

「マイクロソフトに開示したいくつかの新しいバグ（既存のCVEの修正をバイパスするものを含む）についての深い掘り下げがあり、いくつかの興味深く有用な技術、複数のバグクラスからの技術を組み合わせて予期しない発見や、完全に調理されたバグが得られます。また、合理的なライブラリやアプリケーションには存在すべきでないデフォルトや、マイクロソフトのNTLM関連のセキュリティコントロールにおける明らかなギャップも明らかにします」とラッシュ氏は説明しています。

さらに、マイクロソフトは、完全に最新のソフトウェアが既知の悪用可能な脆弱性を持つ古いバージョンに戻ることを強制する可能性のあるゼロデイの欠陥にも対処する作業を進めています。

今週初め、同社は2018年から実際に悪用されているWindows Smart App Control、SmartScreenバイパスの修正に取り組んでいることも発表しました。