Outlookの脆弱性により、カレンダー招待の受け入れがパスワード漏洩に繋がる恐れ:CVE-2023-35636 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > Outlookの脆弱性により、カレンダー招待の受け入れがパスワード漏洩に繋がる恐れ:CVE-2023-35636

Threat Report

Silobreaker-CyberAlert

Outlookの脆弱性により、カレンダー招待の受け入れがパスワード漏洩に繋がる恐れ:CVE-2023-35636

佐々山 Tacos

佐々山 Tacos

2024.01.22

Outlookの脆弱性により、カレンダー招待の受け入れがパスワード漏洩に繋がる恐れ:CVE-2023-35636

(情報源:SCMediaVaronis

Microsoft Outlookの脆弱性CVE-2023-35636を利用してハッシュ化されたパスワードを漏洩させるワンクリックエクスプロイトについて、Varonisの研究者が解説。これは、カレンダーの予定への招待メールに細工を施し、それを標的に送信して招待リンクをクリックさせることでNTLMハッシュ値を漏洩させるという手法だという。

Microsoft Outlookにおける情報漏洩の脆弱性、CVE-2023-35636

今回報告されたエクスプロイトで使われるのは、Outlookにおける情報漏洩の脆弱性であるCVE-2023-35636。CVSSスコアは6.5で、マイクロソフトによる深刻度評価は「Important(重要)」。Varonisにより昨年7月にマイクロソフトへ報告され、12月の月例セキュリティ更新プログラムで修正された。その後Varonisが今年1月18日に公開したブログ記事において、同脆弱性およびその他2件の問題を悪用する3種類のエクスプロイトが詳しく説明されている。

カレンダーの招待リンクを悪用したワンクリックエクスプロイト

Outlook上で予定への招待を受け入れる際、iCalendar(.ics)というファイルが開かれることがあり、これによりイベントやその他のカレンダーデータの共有と、受信者自身のカレンダーアプリへのデータ追加が可能になる。今回のエクスプロイトは、細工したEメールヘッダーと脆弱性CVE-2023-35636を使って上記のカレンダー共有プロセスの中でNTLM v2のハッシュ化されたパスワードを流出させるというもの。

具体的には、攻撃者は「”Content-Class” = “Sharing”」および「”x-sharing-config-url” = \\(攻撃者のマシン)\a.ics」という2つのメールヘッダーを招待メールに追加して、標的のOutlookから.icsリクエストが攻撃者のシステムへ送られるようにする必要がある。

これにより、標的のOutlookユーザーがメールを開いて招待リンクをクリックし、同Outlookは攻撃者のマシン上から.icsファイルを取得して認証を行おうとした際に、ハッシュ化されたパスワードが露わになってしまうのだという。こうして漏洩したハッシュは、オフラインブルートフォース攻撃や認証リレー攻撃によりその後の悪意ある活動に活用される恐れがある。

NTLMハッシュ攻撃からの防御

NTLM v2によりハッシュ化されたパスワードは、オフラインブルートフォースや認証リレーによって攻撃者に標的システムへのアクセスを提供する恐れがあることから、VaronisはNTLMの代わりに可能な限りKerberos認証を強制的に利用させるよう推奨している。これは、Kerberosでは時間制限のあるセッション固有のチケットが使用されることから、ブルートフォースや認証リレーからの保護に有効であるため。また当然ながら、ソフトウェアのパッチや多様なフィッシング戦術への警戒も同様に重要だとされる。

1月19~22日: その他のサイバーセキュリティ関連ニュース

ロシア政府のハッカーらが上層部からメールデータを盗んだ、とマイクロソフトが発表

SecurityWeek – January 19, 2024

ロシア政府が支援するハッカーグループMidnight Blizzardが、マイクロソフトの企業ネットワークに侵入し、同社の上層部のメールと添付ファイルを盗んだという。このグループはパスワードスプレー攻撃を用いて、同社のレガシーシステムのテスト用テナントアカウントを侵害し、そのアカウントのアクセス権限を使ってごく一部の企業メールアカウントにアクセスしたとのこと。

この攻撃はマイクロソフトによって1月12日に検知されており、2023年11月にはすでに同社のシステムが感染していたという。また、今回の問題はマイクロソフトの製品やサービスにおける脆弱性から起こったことではないとされており、顧客の環境や本番システム、ソースコード、またはAIシステムが侵害されたという証拠もないとのこと。

同社は業務に支障が出る可能性があっても、この問題に対処するため、現行のセキュリティ基準をレガシーシステムおよび内部のビジネスプロセスへも直ちに適用すると述べた。現在も法執行機関などの協力のもとで調査が行われており、調査の結果に基づいて追加措置も講じられる予定だという。

中国ハッカーUNC3886、2年前からVMwareゼロデイ欠陥を密かに武器化(CVE-2023−34048)

The Hacker News – January 20, 2024

中国のサイバースパイグループ「UNC3886」が2021年以降、VMware vCyber Serverの重大な脆弱性をゼロデイとして悪用していると、Mandiantが報告。このグループはこれまで、VMwareおよびFortinetアプライアンスに存在するセキュリティ上の欠陥の悪用に関連づけられていた。

問題の脆弱性はCVE-2023−34048(CVSSスコア:9.8)で、これはvCenter Serverへのネットワークアクセスを持つ攻撃者にRCE達成のために悪用される可能性がある境界外書き込みだ。この問題は2023年10月24日にVMwareが修正しているが、同社はアドバイザリを更新するとともに「悪用が実際に発生している」と先週発表した。

UNC3886は2022年9月に初めてその活動が確認されたグループ。当時も、VMwareの公になっていないセキュリティ上の欠陥を悪用してVIRTUALPITAやVIRTUALPIEといったマルウェアファミリーを展開し、WindowsとLinuxシステムにバックドアを仕掛けているのが観測されていた。

関連記事:VMware ESXiのゼロデイを中国ハッカーUNC3886が悪用:CVE-2023-20867

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ