- Microsoftが新たなOutlookの脆弱性(CVE-2024-21413)を発表し、遠隔認証が可能な未認証の攻撃者によって手軽に悪用される可能性があると警告している。
- この脆弱性により、Microsoft Outlookの脆弱なバージョンを使用して悪意のあるリンクを含むメールを開くと、遠隔コードの実行(RCE)が可能になる。
- この脆弱性により、攻撃者はOfficeファイルの保護ビューをバイパスして編集モードで開くこともできるため、プレビューペインも攻撃の対象となる。
- 未認証の攻撃者はユーザーの操作を必要としない低複雑度の攻撃でCVE-2024-21413を遠隔で悪用することができる。
- Microsoftは公式のパッチの適用を強く推奨している。
- Microsoft Exchange Server 2019 CU14以降のバージョンのインストール時、Windows Extended Protection(EP)がデフォルトで有効になる。
- EPはWindows Server認証機能の強化のために使われ、認証リレーや中間者攻撃(MitM)を防ぐ。
- EPを有効にする前に、環境を評価し、Microsoftが提供するExchangeExtendedProtectionManagement PowerShellスクリプトのドキュメントで述べられている問題を確認することが推奨されている。
- EPを有効にした後に問題が発生した場合は、すべてのEPの前提条件が満たされていることを確認するか、スクリプトを使用して機能を無効にすることができる。
- Exchange Server 2016などの古いバージョンのサーバーでも同じPowerShellスクリプトを使用してEPを有効にすることができる。