はじめに

セキュリティ研究者らは、Microsoft Outlookにおけるリモートコード実行の重大な脆弱性である「MonikerLink」（CVE-2024-21413）に対する概念実証（PoC）エクスプロイトを公開しました。この脆弱性は、特別に細工された電子メールを介して、被害者のシステム上で任意のコードを実行させることを可能にし、世界中の組織に深刻なリスクをもたらしています。

脆弱性の詳細

MonikerLinkの脆弱性は、Microsoft Outlookが電子メール内の特定のハイパーリンクを処理する方法に影響を与えます。Check Point Researchによって発見されたこの欠陥は、攻撃者が電子メールのハイパーリンク内のファイルパスに特殊な感嘆符（「!」）文字を追加することで、Outlookのセキュリティ制限を回避できるようにします。

具体的には、file:///\\IP\test\test.rtf!something のような悪意のあるリンクをユーザーがクリックすると、Outlookはそれを「Monikerリンク」として扱い、Windows COM APIを介して処理するため、通常のセキュリティ警告をバイパスしてしまいます。

PoCによる攻撃シナリオ

この脆弱性は、脅威アクターに対して複数の攻撃機会を提供します。成功した場合、

• ローカルのNTLM認証情報が漏洩する可能性があり、攻撃者はこれを使用してネットワークをさらに侵害することができます。
• さらに懸念されるのは、保護ビューをトリガーすることなく、完全なリモートコード実行を達成できる点です。

GitHubで公開されているPoCエクスプロイトは、OutlookのプレビューペインでのゼロクリックエクスプロイトによりNTLMハッシュを窃取する悪意のある電子メールをいかに作成できるかを示しています。このエクスプロイトは、SMTP認証を使用してSPF、DKIM、DMARCのセキュリティチェックをバイパスする電子メールを送信し、実際の攻撃条件をシミュレートしています。

活発な悪用と対策

CISAは、2025年2月にCVE-2024-21413を既知の悪用された脆弱性カタログに追加し、実社会での活発な悪用が確認されていることを示しました。CISAは連邦政府機関に対し、指定された期日までにパッチを適用するよう義務付けており、すべての組織に即座の対策を優先するよう勧告しています。

組織は、セキュリティ研究者のFlorian Roth氏が開発した、悪意のあるfile:\要素パターンを含む電子メールを特定するYARAルールを使用するなど、複数の方法で悪用試行を検出できます。Wiresharkを用いたネットワーク監視も、NTLM認証情報窃取の試みを示す疑わしいSMBトラフィックを捉えることができます。

Microsoftは、この脆弱性に対処するため、2024年2月の月例パッチでセキュリティ更新プログラムをリリースしています。組織は、影響を受けるすべてのMicrosoft Officeインストールにこれらのパッチを直ちに適用すべきです。パッチ適用が遅れる環境では、外部アドレスへのアウトバウンドSMBトラフィックを無効にすることが一時的な緩和策となります。

広範な影響と今後の課題

Check Pointの研究者らは、MonikerLinkの脆弱性がOutlookに限定されないと警告しています。根本的な問題は、Windows COM APIのMkParseDisplayName()およびMkParseDisplayNameEx()の安全でない使用に起因しており、これにより他のアプリケーションも同様に脆弱になる可能性があります。この問題は、Java環境に影響を与えたLog4jの脆弱性にも匹敵する、Windowsエコシステム全体にわたるシステム的な問題として位置づけられています。

まとめ

本脆弱性のCVSSスコアは9.8と緊急（Critical）に分類されており、その影響は甚大です。組織は速やかにパッチを適用し、継続的な監視を行うことで、この脅威からシステムを保護することが不可欠です。

---

元記事: https://gbhackers.com/poc-released-for-outlook-monikerlink-rce-flaw/