特定のハイパーリンクを処理する際にOutlookで興味深い脆弱性が発見され、実際の攻撃者によって悪用されていることが明らかになりました。この脆弱性はCVE-2024-21413として割り当てられ、重大度は9.8(クリティカル)と評価されています。
しかし、マイクロソフトはこの脆弱性に対処し、2024年2月のパッチ火曜日リリースの一環として修正しました。この脆弱性を成功裏に悪用した場合、攻撃者はOffice保護ビューをバイパスし、ファイルを「保護モード」ではなく編集モードで開くことが可能になります。
Outlook 0-day RCE 脆弱性
Checkpointの報告によると、ハイパーリンクがhttp://またはhttps://で始まる場合、OutlookはWindowsのデフォルトブラウザを使用してURLを開きます。しかし、"Skype" URLプロトコルのような他のプロトコルがある場合、ハイパーリンクをクリックするとセキュリティ警告が表示されます。
他のケース、例えば"file://"プロトコルの場合、Outlookは警告ダイアログボックスを表示せず、Windows通知センターにエラーメッセージが表示され、リンクを通じてアクセスしようとしたリソースにもアクセスできませんでした。
ファイルにアクセスできた場合、ローカルのNTLM認証情報が漏洩した可能性が高いです。
#MonikerLinkバグ
"file://"プロトコルリンクをわずかに変更することで、以前に示されたセキュリティ制限をバイパスし、リソースにアクセスを試みることができます。テスト目的で以下のリンクが使用され、リモートリソース上の"test.rtf"ファイルに成功裏にアクセスしました。
研究者によると、このリソースへのアクセスはSMBプロトコルを使用し、プロセス中にローカルのNTLM認証情報を漏洩させます。さらに、研究者はこの攻撃ベクトルを任意のコード実行にエスカレートしようと試みました。
Moniker Link文字列はWindows上のCOM(コンポーネントオブジェクトモデル)オブジェクトを"look up"するために使用されます。Outlookはこの作業を行うためにole32!MkParseDisplayName() APIを呼び出します。MicrosoftのAPIドキュメントでMonikerに"!"を含むと、それは複合Monikerになります。
悪用
研究者は、FileMoniker (\\10.10.111.111\test\test.rtf) + ItemMoniker (something)を使用してMicrosoft Wordにアクセスするためにこの複合Monikerを使用しました。Windowsは背景でMicrosoft WordをCOMサーバーとして実行します。
ハイパーリンクがクリックされると、Wordは"\\10.10.111.111\test\test.rtf"の文字列に基づいて"test.rtf"ファイルを解析します。しかし、このtest.rtfは攻撃者によって制御され、"WINWORD.EXE"を使用してリモートシステム上で任意のコード実行を行うためにさらに変更されました。
研究者は、この#MonikerLinkバグ/攻撃ベクトルが他のソフトウェアにも存在する可能性があり、開発者に問題を確認して修正することを推奨しています。