本ブログは、Microsoft Mitigates Outlook Elevation of Privilege Vulnerability の抄訳版です。最新の情報は原文を参照してください。
2023 年 5 月 9 日更新: マイクロソフト製品に関するリリース において、CVE-2023-29324 - Security Update Guide - Microsoft - Windows MSHTML Platform Security Feature Bypass Vulnerability を更新しました。
2023 年 3 月 24 日更新: 影響評価を、 Guidance for investigating attacks using CVE-2023-23397 - Microsoft Security Blog. へのリンクに更新しました。
2023 年 3 月 23 日更新: 影響を受ける製品と多層防御の詳細については、以下の マイクロソフト製品に関するリリース を参照してください。
Microsoft Threat Intelligence は、インターネットなどの信頼されていないネットワークへの new technology LAN manager (NTLM) 資格情報の盗難を可能にする、Windows 用 Microsoft Outlook の脆弱性が、限定的に悪用されていることを発見しました。マイクロソフトは、この Windows 用 Microsoft Outlook に影響を与える重大な特権昇格 (EoP) の脆弱性に対処するために、CVE-2023-23397 をリリースしました。マイクロソフトは、すべてのお客様に対して、 Windows 用 Microsoft Outlook を更新してセキュリティを維持することを強く推奨します。
影響を受ける製品
サポートされているすべてのバージョンの Windows 用 Microsoft Outlook が影響を受けます。Android 用、iOS 用、Mac 用、ウェブ上の Outlook、およびその他の Microsoft 365 サービスなど、Microsoft Outlook の他のバージョンは影響を受けません。
技術的な詳細
CVE-2023-23397 は、脅威アクターが制御する信頼されていないネットワークにあるサーバー上の SMB(TCP 445)共有への UNC パスを持つ拡張 MAPI プロパティを持つメッセージを、攻撃者が送信したときにトリガーされる Microsoft Outlook の重大な特権昇格の脆弱性です。この脆弱性の悪用には、ユーザーの操作は必要ありません。
リモート SMB サーバーへの接続では、ユーザーの NTLM ネゴシエーション メッセージを送信します。攻撃者はそれを中継して、NTLM 認証をサポートする他のシステムに対する認証を行うことができます。既知のバイパスからシステムを保護する方法については、CVE-2023-29324をご参照ください。
修正
CVE-2023-23397 上の Outlook の更新プログラムを参照して、この脆弱性に対処し、よく寄せられる質問、および追加の緩和策の詳細を参照してください。 この脆弱性に対処するには、メールがホストされている場所 (Exchange Online、Exchange Server、その他のプラットフォームなど)、組織での NTLM 認証のサポート有無に関わらず、Windows 用 Microsoft Outlook のセキュリティ更新プログラムをインストールする必要があります。
Outlook の更新プログラムでは、ローカル、イントラネット、または信頼できるネットワークソースからの場合にのみ、サウンドを再生するパスを使用することで脆弱性に対処しています。
影響評価
この脆弱性を悪用しようとする攻撃者によって、すでに自組織が標的にされたかどうかを判断するために、Microsoft Incident Response は、Guidance for investigating attacks using CVE-2023-23397 - Microsoft Security Blog. を公開しました。
マイクロソフト製品に関するリリース
以下の表は、マイクロソフト製品のリリースとその提供内容をまとめたものです。:
| 目的 | アクション | 結果 |
|---|---|---|
| Windows の脆弱性を修正する。 | Windows 用 Microsoft Outlook を更新します。 | Windows 用 Microsoft Outlook は、パスが信頼済みネットワークの外部を指している場合、PidLidReminderFileParameter メッセージ プロパティに含まれるパスの使用を停止します。 |
| この脆弱性を悪用しようとする攻撃者によって、組織が標的にされているかどうかを確認する。 | Exchange Server または Exchange Online 上にあるメールボックスに悪意のあるメッセージが存在 するかどうかを確認するには、https://aka.ms/CVE-2023-23397ScriptDoc スクリプトを実行してメッセージを検索します。 | PidLidReminderFileParameter が存在するタスク、電子メール メッセージ、および予定表アイテムは、スクリプト出力に含まれます。見つかったメッセージは、必要に応じて変更できます。 |
| 送受信された新しいメッセージに対する多層防御をする。 | Exchange サーバーに 2023 年 3 月の セキュリティ更新プログラム を適用します。 Exchange Online ユーザーは既に保護されています。 |
2023 年 3 月の更新プログラムを適用済みの Exchange Server と Exchange Online にて新しいメッセージが送受信される場合、TNEF 変換時に PidLidReminderFileParameter メッセージ プロパティを削除します。 |
| Windows MSHTML プラットフォームのセキュリティ機能回避の脆弱性を修正する。 | 2023年5月9日のセキュリティアップデートを適用します。詳細は、Security Update Guide - Microsoft - Windows MSHTML Platform Security Feature Bypass Vulnerability を参照ください。 | Windows は、報告されている CVE-2023-23397 のバイパスに対処します。 |
謝辞
Microsoft Incident Response チームと Microsoft Threat Intelligence コミュニティは、CERT-UA によって報告されたこの発見を調査する機会を得られたことを感謝しています。
マイクロソフトは共同の取り組みを通じて、この脆弱性を利用した限定的な標的型攻撃を確認し、影響を受けるお客様への連絡を開始しました。Microsoft Threat Intelligence は、ロシアを拠点とする脅威アクターが、ヨーロッパの政府、輸送、エネルギー、および軍事部門の限られた数の組織に対する標的型攻撃に CVE-2023-23397 で対処したエクスプロイトを使用したと判断しています。
加えて、Akamai 社が CVE-2023-29324 で取り上げた問題について、責任を持って開示したことで、マイクロソフトが調査および対処する機会を得られたことを感謝しています。
私たちは、すべての研究者が協調脆弱性開示(CVD)の下でベンダーと協力することを推奨します。
参考文献
- CVE-2023-23397 および CVE-2023-29324 に関する情報については、セキュリティ更新プログラムガイド を参照してください。
- 詳細については、Exchange チーム ブログ を参照してください。
- 質問がある場合には、Azure ポータル aka.ms/azsupt からサポート ケースを起票してください。