Outlookに「保護されたビュー」を回避する重大欠陥 PoC公開済み：セキュリティニュースアラート

Microsoft Outlookに存在する深刻な脆弱性「CVE-2024-21413」（MonikerLink）のPoCコードが公開された。この欠陥は認証情報の漏えいや任意コード実行に至る恐れがあり、早急な対策が求められる。

[後藤大地，ITmedia]

　「Microsoft Outlook」（以下、Outlook）に存在する脆弱（ぜいじゃく）性「CVE-2024-21413」に関するPoC（概念実証）が「GitHub」に公開された。通称「MonikerLink」と呼ばれる不具合で、悪用されるとリモートから任意のコードが実行される可能性がある。

Outlookに「保護されたビュー」を回避する重大欠陥　PoC公開済み

　CVE-2024-21413は、特定形式のリンク処理に起因する脆弱性だ。通常、Outlookには外部由来のファイルや危険性がある可能性を制限付きで開く「保護されたビュー」機能が備わっている。しかしMonikerLinkではこの仕組みを回避できるケースが確認されている。攻撃者が細工したリンクを含むメールを送信し、受信者が操作をすると、警告が表示されないまま外部資源にアクセスしてしまう可能性がある。

　問題のリンクは「file://」で始まり、感嘆符などを含む特定の構文を使う点に特徴がある。この操作により、攻撃者が管理するサーバにSMB通信が発生し、結果として利用者端末のNTLM資格情報が外部に送信されてしまう。

　状況次第では認証情報の取得だけでなく、遠隔でのコード実行につながる恐れもある。共通脆弱性評価システム（CVSS）v3.1のスコア値は9.8で、深刻度は「緊急」（Critical）と評価されている。

　公開されたPoCコードはPythonで記述されており、教育用の検証環境で動作する構成となっている。コードの説明によると、メールサーバとして「hMailServer」を使い、脆弱な状態のOutlookを実行する利用者を想定している。TLS認証を無効にするなど、検証を容易にする前提条件が置かれている点も明示されている。訓練用途と位置付けられており、機能拡張や一般環境での利用は想定していない。

　また、無断での使用や実環境への適用を強く戒め、あくまで許可を得た範囲での検証に限定するよう注意を促している。防御策としては、メール内容の検査が有効とされている。悪用に使われる「file:\\」要素を含む電子メールを検知するYARAルールを公開しており、利用者の受信前に不審な通信を識別できる可能性がある。

　Microsoftは修正プログラムを提供しており、利用者や組織には早期の適用が推奨される。PoCコードの公開は攻撃手法の理解を助ける一方で、同様の手口が模倣される懸念も伴う。メールクライアントや関連製品の更新状況を確認し、外部へのSMB通信制御など追加対策を検討する必要がある。