JVNVU#95312708
Microsoft Outlook の OLE コンテンツ取得における問題
Microsoft Outlook はリッチテキスト形式 (RTF) のメールを表示する際、リモート・ホスト上の OLE コンテンツをユーザによる操作を介さずに取得してしまいます。その結果、攻撃者によりユーザのパスワードのハッシュ値を含む個人情報が窃取される可能性があります。
- Microsoft Outlook
Microsoft Outlook は、リッチテキスト形式のメールを表示する際にリモート・ホスト上の OLE コンテンツを自動的に取得します。リモート・ホスト上の OLE コンテンツが SMB/CIFS サーバにホストされている場合、Windows クライアントはシングルサインオン (SSO) を用いて認証を行うため、ユーザの IP アドレスやドメイン名、ユーザ名、ホスト名およびパスワードのハッシュ値が流出する恐れがあります。 ユーザのパスワードが平易な場合、攻撃者はパスワードを短時間で解読することが可能です。
遠隔の攻撃者により Microsoft Outlook 上でリッチテキストメッセージを閲覧させられることで、ユーザの IP アドレスやドメイン名、ユーザ名、ホスト名およびパスワードのハッシュ値が取得される可能性があります。取得されたハッシュ値に対してはオフライン攻撃が可能です。また、本脆弱性は、他の脆弱性との組み合わせにより想定される影響が異なります。例えば JVNVU#95841181 と併用された場合、攻撃者は特別に細工したメールを Microsoft Outlook で閲覧させることで、Windows システム上でブルースクリーン (BSOD) を発生させることが可能になります。
アップデートする
本脆弱性は、Microsoft update for CVE-2018-0950 で修正されています。このアップデートでは、リッチテキストメッセージを閲覧した際に Outlook が自動で SMB コネクションを開始しないよう対処されています。なお、このパッチの適用後も他のユーザ操作を要する機能は動作します。例えば、メールが "\\attacker\foo" のような UNC リンクを含む場合、Outlook はこの文字列を自動でハイパーリンク化します。ユーザがそのようなリンクをクリックした場合、本脆弱性で想定される影響が再現します。よって、次のワークアラウンドを実施することを推奨します。
インバウンドおよびアウトバウンドのSMB コネクションをブロックする
TCP ポート番号 445, 137, 139 および UDP ポート番号 137, 139 を閉じることで可能です。
NTLM シングルサインオン (SSO) 認証を無効にする
Microsoft Security Advisory ADV170014 で明記されている通り、NTLM シングルサインオン (SSO) 認証を無効にしてください。
Windows 10 および Windows Server 2016 以降では、レジストリ値 "EnterpriseAccountSSO" が 0 に設定された場合、不特定の外部ネットワークリソースによる SSO 認証が無効化されます。
このレジストリ値を変更しても、SMB リソースへのアクセスは許可されます。ただし、不特定の外部ネットワーク上の SMB リソースに対しては、直近にログインしたユーザのパスワードをそのまま利用せず、ユーザに対して改めて認証情報の入力を要求します。
複雑なパスワードを設定する
クライアントが攻撃者のサーバとの SMB コネクションを確立してしまうことを想定し、Windows のログインパスワードは容易に解読されないように、以下の2点を参考にし十分複雑なものを設定してください。
- パスワードマネージャを活用し複雑でランダム性の高いパスワードを生成する
- パスワードの代わりに、大文字 / 小文字、数字や記号を織り交ぜた長いパスフレーズを使用する
ベンダ | リンク |
Microsoft | CVE-2018-0950 | Microsoft Office Information Disclosure Vulnerability |
-
CERT/CC Vulnerability Note VU#974272
Microsoft Outlook retrieves remote OLE content without prompting -
CERT/CC Blog
Automatically Stealing Password Hashes with Microsoft Outlook and OLE -
Microsoft
ADV170014 | Optional Windows NTLM SSO authentication changes
攻撃元区分(AV) | 物理 (P) | ローカル (L) | 隣接 (A) | ネットワーク (N) |
---|---|---|---|---|
攻撃条件の複雑さ(AC) | 高 (H) | 低 (L) | ||
必要な特権レベル(PR) | 高 (H) | 低 (L) | 不要 (N) | |
ユーザ関与レベル(UI) | 要 (R) | 不要 (N) | ||
スコープ(S) | 変更なし (U) | 変更あり (C) | ||
機密性への影響(C) | なし (N) | 低 (L) | 高 (H) | |
完全性への影響(I) | なし (N) | 低 (L) | 高 (H) | |
可用性への影響(A) | なし (N) | 低 (L) | 高 (H) |
攻撃元区分(AV) | ローカル (L) | 隣接 (A) | ネットワーク (N) |
---|---|---|---|
攻撃条件の複雑さ(AC) | 高 (H) | 中 (M) | 低 (L) |
攻撃前の認証要否(Au) | 複数 (M) | 単一 (S) | 不要 (N) |
機密性への影響(C) | なし (N) | 部分的 (P) | 全面的 (C) |
完全性への影響(I) | なし (N) | 部分的 (P) | 全面的 (C) |
可用性への影響(A) | なし (N) | 部分的 (P) | 全面的 (C) |
JPCERT 緊急報告 |
|
JPCERT REPORT |
|
CERT Advisory |
|
CPNI Advisory |
|
TRnotes |
|
CVE |
CVE-2018-0950 |
JVN iPedia |
|
- 2018/04/12
- 想定される影響、対策方法の脱字を修正しました