Microsoft Outlookにおける権限昇格の脆弱性(CVE-2023-23397)への対応に関するアドバイザリー

背景

2023年3月14日、Microsoftは極めて重大性の高い脆弱性CVE-2023-23397に関するセキュリティ更新ガイドを発表しました。この脆弱性はMicrosoft Outlookのもので、これを悪用することで、権限昇格攻撃に使用できるNTLM資格情報の窃取が可能になってしまいます。

問題点の詳細

攻撃者が拡張MAPI (Microsoft Outlook Messaging API)のプロパティーを含むメールをターゲットに送信する可能性が考えられます。このプロパティーには、UNC (汎用命名規則 - リソースの場所を指定する文字列のフォーマット)を使用した、攻撃者が制御するSMB (TCP 445)共有サーバーへのパスが含まれています。このメールを受信すると、OutlookはSMB共有サーバーでのNTLM認証を開始します。この脆弱性のトリガーには、ユーザーによる操作は必要ありません。攻撃者はこの接続時のNTLMネゴシエーション メッセージを使用して、NTLM認証をサポートする他のシステムに対してこの認証をリレーできます。

Microsoftによると「この脆弱性のエクスプロイトに成功すると、攻撃者はユーザーのNet-NTLMv2ハッシュにアクセスすることができ、それを足がかりにして別のサービスに対するNTLMリレー攻撃を行い、ユーザーとして認証を受けられる可能性がある」ということです。

影響を受けるシステム

Windows用のMicrosoft Outlookのすべてのバージョンがこの脆弱性の影響を受けます。Microsoftのブログによると、それ以外のバージョンのMicrosoft Outlook (Android、iOS、Mac、Outlook on the web)や、Microsoft 365のその他のサービスは影響を受けません。

• Microsoft Outlook 2016 (64ビット版)
• Microsoft Outlook 2013 Service Pack 1 (32ビット版)
• Microsoft Outlook 2013 RT Service Pack 1
• Microsoft Outlook 2013 Service Pack 1 (64ビット版)
• Microsoft Office 2019 32ビット版
• Microsoft 365 Apps for Enterprise 32ビット システム
• Microsoft Office 2019 64ビット版
• Microsoft 365 Apps for Enterprise 64ビット システム
• Microsoft Office LTSC 2021 64ビット版
• Microsoft Outlook 2016 (32ビット版)
• Microsoft Office LTSC 2021 32ビット版

Microsoftはhttps://aka.ms/CVE-2023-23397ScriptDocで影響評価スクリプトの提供を行っており、このスクリプトを実行して脆弱性の影響を評価するための手順を詳しく説明しています。

各組織で行える対策

• Microsoft Outlookのセキュリティ アップデートをインストールし、リスクを軽減する。
• ネットワーク外のTCP445やSMBへのあらゆるアウトバウンド トラフィックをブロックする。
• ユーザーを「Protected Users セキュリティ グループ」に追加し、NTLM認証メカニズムの使用を防止する。これは、今回の脆弱性に対するMicrosoftのセキュリティ ガイドで推奨されている方法です。通常の動作にNTLM認証を使用するアプリケーションに影響を与える可能性がありますが、セキュリティ更新プログラムが適用されるまでのリスク軽減策として適用できます。また、価値の高いドメイン管理者アカウントの保護にも活用できます。セキュリティ更新プログラムの適用後は、ユーザーをProtected Users セキュリティ グループから外し、NTLM認証を再度使用できるようにすることが可能です。

Zscalerによる保護

高度な脅威対策

• HTML.Exploit.CVE-2023-23397

Zscalerでは、既知のエクスプロイトの試行への対策を追加のうえ、この脆弱性に対するより一般的な検出能力の強化に向け取り組んでいます。

Zscalerによってリリースされた脅威シグネチャーに関連する詳細についてはZscaler Threat Libraryをご参照ください。