攻撃者が拡張MAPI (Microsoft Outlook Messaging API)のプロパティーを含むメールをターゲットに送信する可能性が考えられます。このプロパティーには、UNC (汎用命名規則 - リソースの場所を指定する文字列のフォーマット)を使用した、攻撃者が制御するSMB (TCP 445)共有サーバーへのパスが含まれています。このメールを受信すると、OutlookはSMB共有サーバーでのNTLM認証を開始します。この脆弱性のトリガーには、ユーザーによる操作は必要ありません。攻撃者はこの接続時のNTLMネゴシエーションメッセージを使用して、NTLM認証をサポートする他のシステムに対してこの認証をリレーできます。

Microsoftによると「この脆弱性のエクスプロイトに成功すると、攻撃者はユーザーのNet-NTLMv2ハッシュにアクセスすることができ、それを足がかりにして別のサービスに対するNTLMリレー攻撃を行い、ユーザーとして認証を受けられる可能性がある」ということです。

影響を受けるシステム

Windows用のMicrosoft Outlookのすべてのバージョンがこの脆弱性の影響を受けます。Microsoftのブログによると、それ以外のバージョンのMicrosoft Outlook (Android、iOS、Mac、Outlook on the web)や、Microsoft 365のその他のサービスは影響を受けません。

Microsoft Outlook 2016 (64ビット版)
Microsoft Outlook 2013 Service Pack 1 (32ビット版)
Microsoft Outlook 2013 RT Service Pack 1
Microsoft Outlook 2013 Service Pack 1 (64ビット版)
Microsoft Office 2019 32ビット版
Microsoft 365 Apps for Enterprise 32ビットシステム
Microsoft Office 2019 64ビット版
Microsoft 365 Apps for Enterprise 64ビットシステム
Microsoft Office LTSC 2021 64ビット版
Microsoft Outlook 2016 (32ビット版)
Microsoft Office LTSC 2021 32ビット版

Microsoftはhttps://aka.ms/CVE-2023-23397ScriptDocで影響評価スクリプトの提供を行っており、このスクリプトを実行して脆弱性の影響を評価するための手順を詳しく説明しています。

各組織で行える対策

Microsoft Outlookのセキュリティアップデートをインストールし、リスクを軽減する。
ネットワーク外のTCP445やSMBへのあらゆるアウトバウンドトラフィックをブロックする。
ユーザーを「Protected Users セキュリティグループ」に追加し、NTLM認証メカニズムの使用を防止する。これは、今回の脆弱性に対するMicrosoftのセキュリティガイドで推奨されている方法です。通常の動作にNTLM認証を使用するアプリケーションに影響を与える可能性がありますが、セキュリティ更新プログラムが適用されるまでのリスク軽減策として適用できます。また、価値の高いドメイン管理者アカウントの保護にも活用できます。セキュリティ更新プログラムの適用後は、ユーザーをProtected Users セキュリティグループから外し、NTLM認証を再度使用できるようにすることが可能です。