Microsoftアプリ(Mac版)に特権昇格の脆弱性、MSは修正に消極的

Cisco Talos Intelligence Groupは8月19日(米国時間)、「How multiple vulnerabilities in Microsoft apps for macOS pave the way to stealing permissions」において、macOS向けMicrosoftアプリケーションに複数の脆弱性が存在すると報じた。これら脆弱性を悪用されると、悪意のあるライブラリを介して権限を昇格される可能性がある。

• How multiple vulnerabilities in Microsoft apps for macOS pave the way to stealing permissions

脆弱性の概要

脆弱性の情報は次のページにまとまっている。

• TALOS-2024-1972 || Cisco Talos Intelligence Group - Comprehensive Threat Intelligence
• TALOS-2024-1973 || Cisco Talos Intelligence Group - Comprehensive Threat Intelligence
• TALOS-2024-1974 || Cisco Talos Intelligence Group - Comprehensive Threat Intelligence
• TALOS-2024-1975 || Cisco Talos Intelligence Group - Comprehensive Threat Intelligence
• TALOS-2024-1976 || Cisco Talos Intelligence Group - Comprehensive Threat Intelligence
• TALOS-2024-1977 || Cisco Talos Intelligence Group - Comprehensive Threat Intelligence
• TALOS-2024-1990 || Cisco Talos Intelligence Group - Comprehensive Threat Intelligence
• TALOS-2024-1991 || Cisco Talos Intelligence Group - Comprehensive Threat Intelligence

脆弱性の情報(CVE)は次のとおり。

• CVE-2024-42220 - macOS向けMicrosoft Outlookにライブラリインジェクションの脆弱性。特別に細工されたライブラリによりOutlookのアクセス権限を利用される可能性がある
• CVE-2024-42004 - macOS向けMicrosoft Teamsにライブラリインジェクションの脆弱性。特別に細工されたライブラリによりTeamsのアクセス権限を利用される可能性がある
• CVE-2024-39804 - macOS向けMicrosoft PowerPointにライブラリインジェクションの脆弱性。特別に細工されたライブラリによりPowerPointのアクセス権限を利用される可能性がある
• CVE-2024-41159 - macOS向けMicrosoft OneNoteにライブラリインジェクションの脆弱性。特別に細工されたライブラリによりOneNoteのアクセス権限を利用される可能性がある
• CVE-2024-43106 - macOS向けMicrosoft Excelにライブラリインジェクションの脆弱性。特別に細工されたライブラリによりExcelのアクセス権限を利用される可能性がある
• CVE-2024-41165 - macOS向けMicrosoft Wordにライブラリーインジェクションの脆弱性。特別に細工されたライブラリによりWordのアクセス権限を利用される可能性がある
• CVE-2024-41145 - macOS向けMicrosoft Teamsのヘルパーアプリ「WebView.app」にライブラリインジェクションの脆弱性。特別に細工されたライブラリによりTeamsのアクセス権限を利用される可能性がある
• CVE-2024-41138 - macOS向けMicrosoft Teamsのヘルパーアプリ「com.microsoft.teams2.modulehost.app」にライブラリインジェクションの脆弱性。特別に細工されたライブラリによりTeamsのアクセス権限を利用される可能性がある

脆弱性が存在する製品

脆弱性が存在するとされる製品およびバージョンは次のとおり。

• Microsoft Outlook(macOS) バージョン16.83.3
• Microsoft Teams(macOS) バージョン24046.2813.2770.1094
• Microsoft PowerPoint(macOS) バージョン16.83
• Microsoft OneNote(macOS) バージョン16.83
• Microsoft Excel(macOS) バージョン16.83
• Microsoft Word(macOS) バージョン16.83

脆弱性が修正された製品

脆弱性が修正された製品およびバージョンは次のとおり。

• Microsoft Teams(macOS) バージョン24124.1412.2911.3341
• Microsoft OneNote(macOS) バージョン16.86 (24060916)

脆弱性の影響

発見された脆弱性はmacOSの「プライバシーとセキュリティ」設定を回避する目的で使用できるとされる。macOSではアプリケーションがカメラ、マイク、位置情報などへアクセスする場合、ユーザーにアクセス許可を求めるポップアップを表示する。

ユーザーは許可、禁止を選択できるため、望まないアクセスを防止することができる。ユーザーのアクセス許可の選択は「プライバシーとセキュリティ」設定内に保存され、次回以降の確認はスキップされる。

• カメラへのアクセス許可を求めるポップアップの例　引用：Cisco Talos

この機能によりmacOSユーザーのプライバシーは強力に保護される。しかしながら、対象の脆弱性を悪用する攻撃者はこの保護を回避できる可能性があるという。攻撃者は脆弱性を悪用することで悪意のあるライブラリを標的アプリケーション権限で動作させることが可能なため、選択済みアクセス許可を無断で使用できるとされる。

Cisco Talosによると、Microsoftはこれら脆弱性を低リスクと評価したという。そのため、Microsoftは脆弱性の修正に消極的とみられ、これまでのところTeamsおよびOneNoteのみ修正されている。今後、他のOffice製品が修正されるかは明らかになっていない。