Akamai Technologiesは12月18日(米国時間)、「Mute the Sound: Chaining Vulnerabilities to Achieve RCE on Outlook: Pt 1|Akamai」において、Microsoft Outlookクライアントに存在した2つの脆弱性を連鎖させる攻撃について技術的な詳細を公開した。
Microsoft Outlookに存在した2つの脆弱性の概要
これは、2023年8月に対処されたCVE-2023-35384の脆弱性と、2023年10月に対処されたCVE-2023-36710を連鎖させることで完全なゼロクリックリモートコード実行(RCE: Remote Code Execution)を可能とする不具合。2023年10月のソフトウェア更新プログラムを適用したWindowsにて修正されている。
CVE-2023-35384
この脆弱性の深刻度は低いが、影響を与えるCVE-2023-23397の脆弱性の深刻度が重大。CVE-2023-23397は2023年3月にパッチが適用された脆弱性で、Outlookの権限昇格を可能とするゼロクリックの不具合。修正されるまで広く悪用されていたとみられている。このCVE-2023-23397の脆弱性は修正後に修正を回避する方法が2度にわたり発見されている。
CVE-2023-29324として発見された回避策は2023年5月に修正。今回、詳細が公開されたCVE-2023-35384は2023年8月に修正された。いずれの回避策も特殊なパスを指定することで複数のAPIに異なるリソースへのパスとして解析させ、保護を回避して攻撃者のサーバから悪意のあるファイルをダウンロードさせることを可能とする。
CVE-2023-36710
Windows Media Foundationコアのリモートコード実行の不具合。Audio Compression Managerの一部関数に整数オーバーフローの不具合が存在し、圧縮音声のデコードサイズを調整することでメモリの境界を超えた書き込みを発生させることができる。これまでに、IMA ADPコーデックに約1.8GBの音声ファイルを読み込ませることで、脆弱性を発生させることに成功している。
上記2つの脆弱性を連鎖させると、攻撃者はサーバから悪意のある音声ファイルをゼロクリックでダウンロードさせ、Outlookの自動再生によりリモートコード実行の脆弱性を引き起こすことが可能となる。現時点ではこれら脆弱性は修正パッチにより対策されているため、悪用は不可能とみられている。しかしながら、Akamai TechnologiesはOutlookに攻撃対象領域がまだ存在しており、新しい脆弱性が発見される可能性があるとして注意を促している。