Microsoft Office Outlook 脆弱性(CVE-2023-23397)発現および手動対策ガイド

最近 AhnLab Security Emergency response Center(ASEC)は Microsoft Office Outlook 脆弱性への注意を呼び掛けた。

CVE-2023-23397 脆弱性は、メールを受信してアラームが発生するとアカウント情報が流出する。流出する情報は、システムにログインしたアカウントのパスワードハッシュ化情報を含む「NTLM」ハッシュ値で、窃取されるとラテラルムーブメント攻撃などに悪用される可能性がある。

脆弱性にさらされないためにはセキュリティパッチの適用が必須だが、MS Outlook の「アラーム(Reminder)」機能オプションを解除すると手動で対策ができることを確認した。

以下のようにこの脆弱性を引き起こすメールでは、アラームのサウンド機能が有効になっており、流出情報が伝達される不正なアドレスを確認できる。

[図1] 脆弱性を引き起こすメール(POC)のサーバーアドレス

手動対策方法は以下の通りである。

  • オプション > 詳細設定 > アラーム > 「アラームを表示する」チェック解除

この機能を無効にするとアラーム機能は使用できなくなるが、脆弱性が発現しないため、被害を予防できる。ただし、このメールを開き、「音を鳴らす(Play this sound)」にチェックを入れて音を再生すると、脆弱性が発現される可能性があるため、注意する必要がある。

Microsoft 365(Outlook 365)バージョンの場合、アラーム機能の位置は以下の通りである。

[図2] Microsoft 365のアラーム設定

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

5 3 votes
評価する
Subscribe
Notify of
guest

0 コメント
Inline Feedbacks
View all comments