Bleeping Computerは2月6日(米国時間)、「Critical RCE bug in Microsoft Outlook now exploited in attacks」において、米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)がMicrosoft OutlookやSophos XGファイアウォールなどの脆弱性を既知の悪用された脆弱性(KEV: Known Exploited Vulnerability)カタログに追加したと伝えた。

  • Critical RCE bug in Microsoft Outlook now exploited in attacks

    Critical RCE bug in Microsoft Outlook now exploited in attacks

新しく追加された脆弱性は5件

CISAが公開している「KEVカタログ](https://www.cisa.gov/known-exploited-vulnerabilities-catalog)」は、悪用が確認された脆弱性の一覧だ。特に影響の大きいものが登録され、組織が速やかに脆弱性を対策できるよう公開されている。

2月6日に新しく追加された脆弱性は次のとおり。

  • CVE-2025-0411 - 7-ZipにMoTWマーク(MoTW: Mark-of-the-Web)回避の脆弱性。開いているアーカイブの中に別の開いているアーカイブがある場合など、ネストされたアーカイブから抽出されたファイルに対してZone.Identifierストリームを伝搬しない不具合がある。その結果、警告なしで不審なファイルを実行する可能性がある(CVSSスコア: 7.0)
  • CVE-2022-23748 - Dante DiscoveryのmDNSResponder.exeにDLLサイドローディングの脆弱性。攻撃者は任意のコードを実行できる可能性がある(CVSSスコア: 7.8)
  • CVE-2024-21413 - Microsoft Outlookに不適切な入力検証の脆弱性。リモートの攻撃者はOffice保護ビューを回避し、コードを実行する可能性がある(CVSSスコア: 9.8)
  • CVE-2020-29574 - Cyberoam OSのWebAdminにSQLインジェクションの脆弱性。認証されていないリモートの攻撃者は、任意のSQL命令を実行できる可能性がある(CVSSスコア: 9.8)
  • CVE-2020-15069 - Sophos XGファイアウォールにバッファーオーバーフローの脆弱性。リモートの攻撃者はHTTP/Sブックマーク機能を介してコードを実行できる可能性がある(CVSSスコア: 9.8)

速やかに対策を

Bleeping Computerは、Microsoft Outlookの脆弱性「CVE-2024-21413」が特に影響が大きいとして、注意を喚起している。この脆弱性はOutlookのプレビューウィンドウ内でも機能し、COMオブジェクトを呼び出してリモートから任意のコードを実行できる可能性がある(参考:「Microsoft Outlookに緊急の脆弱性、アップデートを | TECH+(テックプラス)」)。

これら脆弱性はすでに悪用されており、速やかに対策することが推奨されている。CISAはカタログの各項目の中で「Additional Notes」として詳細情報へのリンクを掲載している。脆弱性の影響を受ける製品を利用しているユーザーは、これらの中から開発者が提供している情報を確認し、その指示に従い対策を実施することが望まれている。