Trustwaveはこのほど、過去にCVE-2020-0696として特定されたOutlookの脆弱性の詳細な情報を「CVE-2020-0696 - Microsoft Outlook Security Feature Bypass Vulnerability|Trustwave」において公開した。この脆弱性は一旦は修正されたものの、修正が不十分であったため依然としてチェック機能をバイパスできることが明らかになり、2021年に再度修正が行われている。

  • CVE-2020-0696 - Microsoft Outlook Security Feature Bypass Vulnerability|Trustwave

    CVE-2020-0696 - Microsoft Outlook Security Feature Bypass Vulnerability | Trustwave

CVE-2020-0696は「Microsoft Outlook for Mac」から送信し、「Microsoft Outlook for Windows」で受診した場合に発現するという特徴的な動きをする。例えば、メールを作成する段階で「http://legitimatelink」というURLをハイパーリンク先を「file:///malciouslink」として作成し送信すると、受け取り側の「Microsoft Outlook for Windows」で該当リンクをクリックするとfile://がhttp://へ自動変換されてリンクがオープンできてしまうとされている。メールセキュリティソフトウェアは含まれているリンクを不審なものとして検出することができず、かつ、ユーザーにはリンク可能なものとして送信されていたようだ。

Microsoftは一旦この問題を修正しているものの、別の方法でバイパスが可能であることが判明。「http:/://maliciouslink」のような書き方にしておくと「:/」が削除されて「http://maliciouslink」としてクリックできてしまうことが確認されており、2021年にさらに修正が行われている。

Trustwaveが今回明らかにした脆弱性の詳細は奇妙なものだが、この方法を悪用することでフィッシング詐欺などに応用できたことになる。セキュリティソフトウェアが動作していても常にサイバーセキュリティの脅威を排除できるものではなく、常に一定のリスクが存在することを認識して操作を行うことが望まれる。