マイクロソフト、「Outlook」の情報流出につながるバグを修正

　Microsoftは、1年以上前から認識していた「Outlook」の重要なバグを修正した。このバグは、リッチテキスト形式（RTF）のメールにリモートでホスティングされている「Object Linking and Embedding」（OLE）オブジェクトが含まれる場合に、ユーザーがそのメールをプレビュー表示すると、パスワードハッシュの流出を許すおそれがある。

　このバグは、CERT Coordination Center（CERT/CC）の脆弱性アナリストであるWill Dormann氏が2016年11月に報告したもので、米国時間4月10日にリリースされたMicrosoftの月例パッチでようやく修正された。

　パスワードへのリスクは、RTFメールにリモートの「Server Message Block」（SMB）サーバでホスティングされているOLEオブジェクトが含まれる場合に、Outlookがそうしたメールを処理する方法に起因する。

　2016年、Dormann氏は、MicrosoftがリモートSMBサーバから読み込まれたコンテンツに、ウェブでホスティングされているコンテンツと同じ制約を適用していないことを発見した。

　たとえば、Outlookは、ウェブでホスティングされている画像がメールに含まれていても自動では読み込まない。クライアントのIPアドレスと、メールが閲覧された時刻などのメタデータの詳細を流出させるおそれがあるからだ。

　しかし、リモートSMBサーバから読み込まれるOLEオブジェクトを含むRTFメールメッセージを受信者がプレビュー表示する場合、Outlookはそのような予防措置をとらない。

　Dormann氏は、このようなOLEオブジェクトとSMBサーバの組み合わせにより、ユーザーのIPアドレス以外にもかなり多くの情報が流出してしまうことを発見した。メールがプレビュー表示されるとすぐに、PCは悪意を持つ可能性のあるリモートSMBサーバとのSMBセッションを自動でネゴシエートし、それによりクライアントのIPアドレス、ドメイン名、ユーザー名、ホスト名、SMBセッションキーを流出させてしまうという。

　こうした攻撃による脅威の即時性は、標的のパスワードの強度に左右されるとしている。

　ただし、Dormann氏は、脆弱性「CVE-2018-0950」に対するMicrosoftの修正では、すべてのリモートSMB攻撃を防げるわけではないと述べている。

　攻撃者はリモート画像を読み込ませる代わりに、標的に対しダブルバックスラッシュで始まる汎用命名規則（UNC）のリンクを送信して、悪意のあるSMBサーバに誘導する可能性がある。このSMBサーバも、SMBセッションを自動で開始して、同じデータを流出させることになる。ただし、それにはユーザーが単にメールをプレビュー表示するだけでなく、リンクをクリックする必要がある。

　Dormann氏はMicrosoftのパッチをインストールすることを推奨しているが、他の予防措置も取るよう管理者にアドバイスしている。そうした措置としては、SMBセッションの発着信に使われる特定のTCPおよびUDPポートをブロックすること、外部リソースに対するNTLMのシングルサインオンをブロックすること、ユーザーにパスワードより長いパスフレーズの使用を求めることなどがある。