Microsoft は、いくつかの Office および 365 Enterprise 製品に影響を与える重大度の高いゼロデイ脆弱性を公開しましたが、パッチはまだ開発中です。
CVE-2024-38200 として追跡されているこの脆弱性は、情報漏えいの脆弱性によって引き起こされ、ハッカーがこれを悪用して個人や組織から個人や保護されたデータ (システムのステータスと環境または構成データ、ネットワークのステータスと構成データ、接続メタデータなど) を簡単に盗むことができます。 。
ゼロデイ脆弱性 (CVE-2024-38200) は次の製品に影響します。
- Microsoft Office 2016 (32ビットおよび64ビット)
- Microsoft Office 2019 (32ビットおよび64ビット)
- Microsoft Office LTSC 2021 (32ビットおよび64ビット)
- エンタープライズ向け Microsoft 365 アプリ (32 ビットおよび 64 ビット)
Microsoft の悪用可能性評価によると、CVE-2024-38200 が悪用される可能性は「低い」しかしMITREは提案されたこの種の弱点が悪用される可能性が高いということです。
「Web ベースの攻撃シナリオでは、攻撃者は、脆弱性を悪用するように設計された特別に細工されたファイルを含む Web サイトをホストする (またはユーザー提供のコンテンツを受け入れるかホストする侵害された Web サイトを利用する) 可能性があります」と Microosoft のアドバイザリーは説明しています。
「しかし、攻撃者にはユーザーを強制的に Web サイトにアクセスさせる方法はありません。代わりに、攻撃者は通常、電子メールやインスタント メッセンジャー メッセージ内の誘惑によってユーザーにリンクをクリックさせ、特別に細工したファイルを開かせる必要があります。」
現在、Microsoft はこのゼロデイ脆弱性に対処するためのセキュリティ更新プログラムを開発していますが、リリース日はまだ発表していません。
Microsoft は、CVE-2024-38200 の発見は、PrivSec Consulting のセキュリティ コンサルタントである Jim Rush 氏と Synack Red Team のメンバーである Metin Yunus Kandemir 氏によるものであると考えています。
この脆弱性に関する詳細については、Rush が今後開催する「NTLM – The last riding」と題した Defcon 講演で提供される予定だと、PrivSec マネージング ディレクターの Peter Jakowetz 氏は述べています。ピーピーコンピュータ。
「Microsoft に開示したいくつかの新しいバグ (既存の CVE への修正のバイパスを含む)、いくつかの興味深い便利なテクニック、複数のバグ クラスのテクニックを組み合わせた、予期せぬ発見や完全に調理されたバグについての詳細が説明されます。また、賢明なライブラリやアプリケーションに存在すべきではないいくつかのデフォルトや、Microsoft NTLM 関連のセキュリティ制御のいくつかの明らかなギャップも明らかにします。」説明する。
さらに、マイクロソフトは次のことにも取り組んでいますゼロデイ欠陥への対処そのため、完全に最新のソフトウェアが既知の悪用可能な脆弱性を備えた古いバージョンに強制的に戻される可能性があります。
今週初め、同社はまた、発表された2018年以来悪用されてきたWindows Smart App Control、SmartScreenバイパスの修正に取り組んでいることを明らかにした。
