Check Point Software Technologiesは2月14日(米国時間)、「Check Point Research Unveils Critical #MonikerLink Vulnerability in Microsoft Outlook with a 9.8 CVSS Severity Score - Check Point Blog」において、Microsoft Outlookに緊急の脆弱性「#MonikerLink」を発見したとして、注意を喚起した。この脆弱性を悪用されると、リモートの攻撃者によりNTLM資格情報の窃取や任意のコードを実行される可能性がある。

  • Check Point Research Unveils Critical #MonikerLink Vulnerability in Microsoft Outlook with a 9.8 CVSS Severity Score - Check Point Blog

    Check Point Research Unveils Critical #MonikerLink Vulnerability in Microsoft Outlook with a 9.8 CVSS Severity Score - Check Point Blog

脆弱性「MonikerLink」の概要

発見された脆弱性は、「file://」プロトコルを使用した特別なハイパーリンクをOutlookが処理する際に発生するという。Outlook(プレビューウィンドウを含む)上でこのリンクをクリックすると、SMB(Server Message Block)プロトコルを用いて攻撃者が制御する悪意のあるリモートサーバへ接続が開始され、その際にNTLM資格情報が漏洩する。その結果、漏洩した資格情報が追加の攻撃に利用される可能性がある。また、この脆弱性は通常表示されるセキュリティ警告やエラーメッセージなどをバイパスする。

Check Pointは、NTML資格情報の窃取以外にも憂慮すべき問題がこの脆弱性にはあると指摘している。それは標的の環境で任意のコードを実行できる可能性があるという点。

攻撃者は悪意のあるハイパーリンクを「Moniker Link」として処理させることでCOMオブジェクトを呼び出し、任意のコードをリモートから実行させることができる。このプロセスにはOfficeアプリケーションの保護ビューモードは含まれないため、攻撃者はこの保護層をバイパスしてコードを実行可能で、システム全体を侵害する可能性がある(参考:「URL Monikers - Win32 apps | Microsoft Learn」)。

脆弱性がもたらす影響

この脆弱性は「CVE-2024-21413」として追跡されており、深刻度は緊急(Critical)と評価されている。Microsoftは2月13日(米国時間)、「CVE-2024-21413 - Security Update Guide - Microsoft - Microsoft Outlook Remote Code Execution Vulnerability」において、この脆弱性を修正するアップデートを公開した。Microsoft Outlookの利用者は影響を確認し、速やかにアップデートすることが望まれている。