CVE-2024-21378 検出: Microsoft Outlookの脆弱性が認証されたリモートコード実行に繋がる

[post-views]
3月 13, 2024 · 6 分で読めます
CVE-2024-21378 検出: Microsoft Outlookの脆弱性が認証されたリモートコード実行に繋がる

厄介な JetBrains TeamCity の脆弱性(CVE-2024-27198、CVE-2024-2719)に続いて、セキュリティ専門家は、Microsoft Outlook に影響を与える新しい RCE を明らかにしました。認証された敵対者はセキュリティの問題を活用して、影響を受けたインスタンスで悪意のあるコードを実行し、それを広範に制御する可能性があります。Microsoft はこの脆弱性を 2024 年 2 月に修正しましたが、ベンダーは特に最近の PoC リリースを踏まえて「Exploitation More Likely」と分類しています。

CVE-2024-21378 悪用の試みを検知

CVE-2024-21378 が野生のキャンペーンで武器化される可能性を考慮し、サイバー防御者が攻撃の発展の最速の段階で疑わしい活動を検出し、積極的に防御することが重要です。SOC Prime プラットフォームは、Microsoft Outlook の脆弱性の悪用に関連する悪意のある活動を識別するための、キュレーションされた Sigma ルールのセットを集約しています。

CVE-2024-21378(Microsoft Outlook のリモートコード実行)悪用の試み(registry_event 経由)

CVE-2024-21378(Microsoft Outlook のリモートコード実行)悪用の試み(process_creation 経由)

CVE-2024-21378(Microsoft Outlook のリモートコード実行)悪用の試み(file_event 経由))

SOC Prime チームによるルールは、Outlook フォームおよびそれに関連する特定のパスで悪意のある DLL ファイルを配置するために使われる可能性のあるファイル変更に関連する操作を検出します。すべての検出は 28 の SIEM、EDR、XDR、およびデータレイク技術と互換性があり、 MITRE ATT&CK フレームワーク v14.1 に対応し、Defense Evasion 戦術に対処し、主要な手法として Hijack Execution Flow (T1574) に取り組んでいます。

新たな脅威に対するサイバーリジリエンスを強化する方法を模索するセキュリティ専門家は、脆弱性の悪用に対処する検出アルゴリズムの全コレクションを探索すると良いでしょう。ただ下の 検出を探る ボタンを押して、詳細なメタデータとカスタマイズされたインテリジェンスで豊富になったルールリストに掘り下げましょう。

検出を探る

CVE-2024-21378 分析: Microsoft Outlook のリモートコード実行

2023 年、NetSpi の研究者は、Microsoft Outlook に影響を与える認証されたリモートコード実行の脆弱性を発見しました。CVE-2024-21378 として追跡されているこの欠陥は、ハッカーが影響を受けたシステムで悪意のあるコードを実行するのを可能にします。しかし、この問題を悪用するためには、脅威アクターは LAN アクセスと Exchange ユーザーの有効なアクセス トークンで認証する必要があります。さらに、標的ユーザーは、後続の攻撃ステップを誘発するために細工されたファイルと対話するように騙されます。

特に、 Etienne Stalmans が 2017 年に SensePost で説明した攻撃ベクトルに依存しています。この方法では、Outlook フォームオブジェクト内で VBScript コードを利用してメールボックスへのアクセスを伴う RCE を達成します。Microsoft は関連するパッチで問題に対処しましたが、フォームオブジェクトの脆弱な同期機能は変更されなかったため、Outlook のセキュリティ上のギャップが脚光を浴びています。

この欠陥は 2023 年に Microsoft に報告され、ベンダーは 2024 年 2 月 13 日にサポートされているすべての Outlook バージョンに パッチを適用しました。3 月 11 日に、 NetSpi 研究者はこの欠陥の概要を共有しました 関連する PoC コードの詳細を含んでいます。

CVE-2024-21378 の詳細がウェブ上で公にアクセス可能であるため、潜在的な悪用のリスクが増大しており、防御者からの超迅速な対応が求められています。 SOC Prime の Attack Detective を活用することで、セキュリティエンジニアは、サイバー防御の盲点をタイムリーに特定しこれらのギャップに対処するための適切なデータを収集し、SIEM の ROI を最適化し、敵対者が攻撃する前に検出手続きを優先することにより、組織のサイバーセキュリティ体制を向上させることができます。

 

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

CVE-2025-49144 脆弱性:Notepad++の重大な権限昇格の欠陥により、システム全体が乗っ取られる可能性
ブログ, 最新の脅威 — 10 分で読めます
CVE-2025-49144 脆弱性:Notepad++の重大な権限昇格の欠陥により、システム全体が乗っ取られる可能性
Veronika Telychko
CVE-2025-6018およびCVE-2025-6019脆弱性の悪用:ローカル権限昇格の欠陥を連鎖させることで、攻撃者が大多数のLinuxディストリビューションでルートアクセスを得る
ブログ, 最新の脅威 — 8 分で読めます
CVE-2025-6018およびCVE-2025-6019脆弱性の悪用:ローカル権限昇格の欠陥を連鎖させることで、攻撃者が大多数のLinuxディストリビューションでルートアクセスを得る
Veronika Telychko
CVE-2025-4123 脆弱性:「Grafana のゴースト」ゼロデイ攻撃が悪意のあるアカウント乗っ取りを可能に
ブログ, 最新の脅威 — 9 分で読めます
CVE-2025-4123 脆弱性:「Grafana のゴースト」ゼロデイ攻撃が悪意のあるアカウント乗っ取りを可能に
Veronika Telychko