OutlookにCVSS 9.8、「緊急」の脆弱性 急ぎアップデートの適用を:セキュリティニュースアラート
MicrosoftはOutlookにCVSSスコア9.8の脆弱性が存在すると伝えた。この脆弱性を悪用する動きが確認されたため、早急なアップデートの適用が望まれる。
» 2024年02月28日 07時00分 公開
[後藤大地,有限会社オングス]
この記事は会員限定です。会員登録すると全てご覧いただけます。
Microsoftは2024年2月13日(現地時間)、「Microsoft Outlook」(以下、Outlook)にリモートコード実行を可能とする脆弱(ぜいじゃく)性の存在を伝えた。
Outlookの脆弱性「CVE-2024-21413」、悪用に警戒を
この脆弱性は「CVE-2024-21413」として追跡されており、共通脆弱性評価システム(CVSS)のスコア値は9.8、深刻度「緊急」(Critical)に分類された。
この脆弱性がどのような仕組みでサイバー攻撃に悪用できるかはCheck Point Software Technologiesが解説している。Outlookのハイパーリンク処理に問題があり、最終的にNTLM認証情報の漏えいやリモートコード実行を引き起こす可能性があるという。
また、サイバー攻撃やデータ侵害などに関する情報を提供している「X」(旧「Twitter」)アカウント「Daily Dark Web」が最近の投稿でCVE-2024-21413に関する情報がダークWebに掲載されていることを報告した。
Microsoftは2024年2月の累積更新プログラムでこの脆弱性を修正対象に含めているため、「Windows Update」を適用している場合は修正済みになっているはずだ。まだこれを修正していない場合は、迅速に累積更新プログラムを適用してほしい。
関連記事
ランサムウェアグループの巨人LockBitがテイクダウン 日本が果たした役割とは?
ランサムウェアグループの中でも最大勢力とされる「LockBit」がEuropolらを中心としたチームの手によってテイクダウンされました。今回はこの作戦で日本が果たした役割を紹介します。
Microsoftの二要素認証を回避 120ドルで提供されるフィッシング・アズ・ア・サービスが登場
TrustwaveはTelegram経由で販売される新しいフィッシング・アズ・ア・サービス「Tycoon Group」について伝えた。Tycoon GroupはMicrosoftの2FAバイパスやCloudflareを利用したアンチbot機能など、高度なフィッシング技術を低価格で提供している。
「完全にやりすぎ」 インシデント開示規則の撤廃を求める企業たち
ジョー・バイデン大統領は、企業に対してサイバーインシデントとガバナンスプロセスの開示を義務付けるSECの権限の剥奪を目的とした共同決議案を拒否する意向を示した。
「DNSに対する最悪の攻撃」 DNSSEC設計の根幹に関わる脆弱性「KeyTrap」が見つかる
ATHENEはDNSSECの設計に深刻な欠陥があると発表した。この脆弱性を悪用すると単一のDNSパケットで全てのDNS実装とパブリックDNSプロバイダーを停止状態にすることが可能だという。
関連リンク
- The Risks of the #MonikerLink Bug in Microsoft Outlook and the Big Picture - Check Point Research
- Daily Dark Web: 「Alleged Microsoft Outlook CVE-2024-21413 RCE Exploit is shared The bug not only allows the leaking of the local NTLM information, but it may also allow remote code execution and more as an attack vector. It could also bypass the Office Protected View when it’s used as an attack… https://t.co/AaGqN0dIQl」 / X
- Daily Dark Web (@DailyDarkWeb) / X
- 2024 年 2 月のセキュリティ更新プログラム (月例) | MSRC Blog | Microsoft Security Response Center
- CVE-2024-21413 - セキュリティ更新プログラム ガイド - Microsoft - Microsoft Outlook のリモートでコードが実行される脆弱性
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- “生成AI依存”が問題になり始めている 活用できないどころか顧客離れになるかも?
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 管理職なら年収2000万円超え サイバーセキュリティという困難だが“もうかる仕事”
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft、脆弱性の開示に向けて業界標準の体系を採用 大改革がもたらすメリット
- NVDは多くの課題を抱えて機能不全に陥っている 問題点を整理しよう
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- ドローンいらず? 飛行動画作成できる「Google Earth Studio」登場
ITmediaはアイティメディア株式会社の登録商標です。