ニュース
OutlookにCVSS 9.8、「緊急」の脆弱性 急ぎアップデートの適用を:セキュリティニュースアラート
MicrosoftはOutlookにCVSSスコア9.8の脆弱性が存在すると伝えた。この脆弱性を悪用する動きが確認されたため、早急なアップデートの適用が望まれる。
Microsoftは2024年2月13日(現地時間)、「Microsoft Outlook」(以下、Outlook)にリモートコード実行を可能とする脆弱(ぜいじゃく)性の存在を伝えた。
Outlookの脆弱性「CVE-2024-21413」、悪用に警戒を
この脆弱性は「CVE-2024-21413」として追跡されており、共通脆弱性評価システム(CVSS)のスコア値は9.8、深刻度「緊急」(Critical)に分類された。
この脆弱性がどのような仕組みでサイバー攻撃に悪用できるかはCheck Point Software Technologiesが解説している。Outlookのハイパーリンク処理に問題があり、最終的にNTLM認証情報の漏えいやリモートコード実行を引き起こす可能性があるという。
また、サイバー攻撃やデータ侵害などに関する情報を提供している「X」(旧「Twitter」)アカウント「Daily Dark Web」が最近の投稿でCVE-2024-21413に関する情報がダークWebに掲載されていることを報告した。
Microsoftは2024年2月の累積更新プログラムでこの脆弱性を修正対象に含めているため、「Windows Update」を適用している場合は修正済みになっているはずだ。まだこれを修正していない場合は、迅速に累積更新プログラムを適用してほしい。
関連記事
- ランサムウェアグループの巨人LockBitがテイクダウン 日本が果たした役割とは?
ランサムウェアグループの中でも最大勢力とされる「LockBit」がEuropolらを中心としたチームの手によってテイクダウンされました。今回はこの作戦で日本が果たした役割を紹介します。 - Microsoftの二要素認証を回避 120ドルで提供されるフィッシング・アズ・ア・サービスが登場
TrustwaveはTelegram経由で販売される新しいフィッシング・アズ・ア・サービス「Tycoon Group」について伝えた。Tycoon GroupはMicrosoftの2FAバイパスやCloudflareを利用したアンチbot機能など、高度なフィッシング技術を低価格で提供している。 - 「完全にやりすぎ」 インシデント開示規則の撤廃を求める企業たち
ジョー・バイデン大統領は、企業に対してサイバーインシデントとガバナンスプロセスの開示を義務付けるSECの権限の剥奪を目的とした共同決議案を拒否する意向を示した。 - 「DNSに対する最悪の攻撃」 DNSSEC設計の根幹に関わる脆弱性「KeyTrap」が見つかる
ATHENEはDNSSECの設計に深刻な欠陥があると発表した。この脆弱性を悪用すると単一のDNSパケットで全てのDNS実装とパブリックDNSプロバイダーを停止状態にすることが可能だという。
関連リンク
- The Risks of the #MonikerLink Bug in Microsoft Outlook and the Big Picture - Check Point Research
- Daily Dark Web: 「Alleged Microsoft Outlook CVE-2024-21413 RCE Exploit is shared The bug not only allows the leaking of the local NTLM information, but it may also allow remote code execution and more as an attack vector. It could also bypass the Office Protected View when it’s used as an attack… https://t.co/AaGqN0dIQl」 / X
- Daily Dark Web (@DailyDarkWeb) / X
- 2024 年 2 月のセキュリティ更新プログラム (月例) | MSRC Blog | Microsoft Security Response Center
- CVE-2024-21413 - セキュリティ更新プログラム ガイド - Microsoft - Microsoft Outlook のリモートでコードが実行される脆弱性
Copyright © ITmedia, Inc. All Rights Reserved.