公開日:2018/04/11 最終更新日:2018/04/12

JVNVU#95312708
Microsoft Outlook の OLE コンテンツ取得における問題

概要

Microsoft Outlook はリッチテキスト形式 (RTF) のメールを表示する際、リモート・ホスト上の OLE コンテンツをユーザによる操作を介さずに取得してしまいます。その結果、攻撃者によりユーザのパスワードのハッシュ値を含む個人情報が窃取される可能性があります。

影響を受けるシステム

  • Microsoft Outlook

詳細情報

Microsoft Outlook は、リッチテキスト形式のメールを表示する際にリモート・ホスト上の OLE コンテンツを自動的に取得します。リモート・ホスト上の OLE コンテンツが SMB/CIFS サーバにホストされている場合、Windows クライアントはシングルサインオン (SSO) を用いて認証を行うため、ユーザの IP アドレスやドメイン名、ユーザ名、ホスト名およびパスワードのハッシュ値が流出する恐れがあります。 ユーザのパスワードが平易な場合、攻撃者はパスワードを短時間で解読することが可能です。

想定される影響

遠隔の攻撃者により Microsoft Outlook 上でリッチテキストメッセージを閲覧させられることで、ユーザの IP アドレスやドメイン名、ユーザ名、ホスト名およびパスワードのハッシュ値が取得される可能性があります。取得されたハッシュ値に対してはオフライン攻撃が可能です。また、本脆弱性は、他の脆弱性との組み合わせにより想定される影響が異なります。例えば JVNVU#95841181 と併用された場合、攻撃者は特別に細工したメールを Microsoft Outlook で閲覧させることで、Windows システム上でブルースクリーン (BSOD) を発生させることが可能になります。

対策方法

アップデートする
本脆弱性は、Microsoft update for CVE-2018-0950 で修正されています。このアップデートでは、リッチテキストメッセージを閲覧した際に Outlook が自動で SMB コネクションを開始しないよう対処されています。なお、このパッチの適用後も他のユーザ操作を要する機能は動作します。例えば、メールが "\\attacker\foo" のような UNC リンクを含む場合、Outlook はこの文字列を自動でハイパーリンク化します。ユーザがそのようなリンクをクリックした場合、本脆弱性で想定される影響が再現します。よって、次のワークアラウンドを実施することを推奨します。

インバウンドおよびアウトバウンドのSMB コネクションをブロックする
TCP ポート番号 445, 137, 139 および UDP ポート番号 137, 139 を閉じることで可能です。

NTLM シングルサインオン (SSO) 認証を無効にする
Microsoft Security Advisory ADV170014 で明記されている通り、NTLM シングルサインオン (SSO) 認証を無効にしてください。
Windows 10 および Windows Server 2016 以降では、レジストリ値 "EnterpriseAccountSSO" が 0 に設定された場合、不特定の外部ネットワークリソースによる SSO 認証が無効化されます。
このレジストリ値を変更しても、SMB リソースへのアクセスは許可されます。ただし、不特定の外部ネットワーク上の SMB リソースに対しては、直近にログインしたユーザのパスワードをそのまま利用せず、ユーザに対して改めて認証情報の入力を要求します。

複雑なパスワードを設定する
クライアントが攻撃者のサーバとの SMB コネクションを確立してしまうことを想定し、Windows のログインパスワードは容易に解読されないように、以下の2点を参考にし十分複雑なものを設定してください。
 

  • パスワードマネージャを活用し複雑でランダム性の高いパスワードを生成する
         使用するコンピュータリソース間でパスワードの一意性を確保しつつ、十分複雑でランダム性の高いパスワードの生成に役立ちます。
 
  • パスワードの代わりに、大文字 / 小文字、数字や記号を織り交ぜた長いパスフレーズを使用する
         保存や入力に別途ソフトウェアを用意せずとも覚えやすく、堅牢な認証情報になります。

ベンダ情報

ベンダ リンク
Microsoft CVE-2018-0950 | Microsoft Office Information Disclosure Vulnerability

参考情報

  1. CERT/CC Vulnerability Note VU#974272
    Microsoft Outlook retrieves remote OLE content without prompting
  2. CERT/CC Blog
    Automatically Stealing Password Hashes with Microsoft Outlook and OLE
  3. Microsoft
    ADV170014 | Optional Windows NTLM SSO authentication changes

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:N
基本値: 5.8
攻撃元区分(AV) 物理 (P) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 低 (L)
必要な特権レベル(PR) 高 (H) 低 (L) 不要 (N)
ユーザ関与レベル(UI) 要 (R) 不要 (N)
スコープ(S) 変更なし (U) 変更あり (C)
機密性への影響(C) なし (N) 低 (L) 高 (H)
完全性への影響(I) なし (N) 低 (L) 高 (H)
可用性への影響(A) なし (N) 低 (L) 高 (H)
CVSS v2 AV:N/AC:L/Au:N/C:P/I:N/A:N
基本値: 5.0
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L)
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N)
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C)
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C)
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C)

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2018-0950
JVN iPedia

更新履歴

2018/04/12
想定される影響、対策方法の脱字を修正しました