Akamai、Outlookの脆弱性を指摘 全てのWindowsが影響を受けるため注意
Akamai TechnologiesはMicrosoftが2023年3月に実施した脆弱性修正が不十分であるとともに、新たな脆弱性も発見したと報じた。
Akamai Technologiesは2023年5月10日(現地時間)、Microsoftが同年3月の累積更新プログラムで修正した「Microsoft Outlook」(以下、Outlook)に関する脆弱(ぜいじゃく)性を分析し、その修正が不十分であり、さらに新たな脆弱性を発見したと報じた。
Outlookの脆弱性は不十分 全てのWindowsが影響を受ける
Akamai Technologiesが今回指摘した脆弱性は、Outlookに存在するもので「CVE-2023-23397」として特定されている。CVE-2023-23397を悪用することで、Outlookクライアントを強制的にサイバー攻撃者のサーバに接続させることが可能になる。
これによってOutlookクライアントはNTLM認証情報をサイバー攻撃者に送信することになる。結果的にサイバー攻撃者はオフラインでパスワードを解析したり、リレー攻撃を実行したりできるようになる。この脆弱性はユーザーによる操作を必要とせずにインターネット経由で遠隔から攻撃を仕掛けられるゼロクリックの脆弱性であるため警戒が必要だ。
Akamai TechnologiesはCVE-2023-23397の修正方法を分析したところ、簡単にこの修正を回避できることを発見した。これはWindows API関数の「MapUrlToZone()」がリモートパスをローカルパスとして誤認するという問題で、新たな脆弱性「CVE-2023-29324」として特定されている。同社は調査の結果、全ての「Windows」がこの問題の影響を受けるとして注意を促している。
同社は同脆弱性の分析を通じて、悪用の発端となるカスタムリマインダーサウンドの機能がユーザーに価値を提供する以上にセキュリティリスクをもたらすとし、完全に削除されるべきだと主張している。また、今回の取り組みはセキュリティパッチの精査が新たな脆弱性やバイパスの発見につながるとしてその重要性を説明している。
なお、Akamai Technologiesは同脆弱性をすでにMicrosoftに報告しており、2023年5月の累積更新アップデートに修正が取り込まれている。Microsoft製品を使用している場合、迅速に2023年5月の累積更新プログラムを適用してほしい。
関連記事
- 複数のゼロデイ脆弱性が対象 Microsoftが2023年5月の累積更新プログラムを配信
Microsoftは2023年5月の累積更新プログラムを配信した。アップデート対象にはゼロデイ脆弱性や深刻度「緊急」(Critical)の脆弱性が複数含まれているため、迅速にアップデートを適用してほしい。 - 生成AIを組み込んだ新しいBing、オープンプレビュー版が提供開始
2023年2月に、検索サービス「Microsoft Bing」に「ChatGPT」の技術が使われたことで話題となったが、そのオープンプレビュー版の提供が始まった。順番待ちリストへの登録も必要なくなった。 - OneNoteがサイバー攻撃対策で120個の拡張子をブロック
MicrosoftはOneNoteを悪用したサイバー攻撃の増加を受け、特定拡張子のファイル処理方法を変更すると発表した。2023年4月のバージョン2304から適用され、特定の拡張子のファイル実行をブロックする。 - OutlookにCVSS9.8の脆弱性 容易に悪用可能のため直ちに更新を
Windows版のMicrosoft Outlookに深刻度が緊急の脆弱性が存在することが明らかになった。すでに悪用が確認されており注意が必要。該当する製品を使っている場合には直ちに対処することが望まれる。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.