CVE-2025-21298 検出: Microsoft Outlookにおけるゼロクリック OLE の重大な脆弱性がリモートコード実行を引き起こす

[post-views]
1月 21, 2025 · 6 分で読めます
CVE-2025-21298 検出: Microsoft Outlookにおけるゼロクリック OLE の重大な脆弱性がリモートコード実行を引き起こす

Windows LDAPにおけるサービス拒否(DoS)脆弱性の公開があったばかりで、 CVE-2024-49113 LDAPNightmareとしても知られる、Microsoft製品に影響を与える非常に深刻な別の脆弱性が現れました。最近修正されたMicrosoft Outlookの脆弱性、CVE-2025-21298は、攻撃者が RCE Windowsデバイス上で特別に作成されたメールを介して実行することを可能にすることにより、重大なメールセキュリティリスクを引き起こします。

SOC Primeによる無料のSigmaルールでCVE-2025-21298の攻撃試行を検出

2025年1月だけで、 2,560の脆弱性 が確認されており、特に年初は積極的に利用される脆弱性の急増により高リスクの期間となっています。注目すべき例には、 CVE-2024-49112, CVE-2024-55591があります。 CVE-2024-49113

さらに緊急性を高めているのは、CVE-2025-21298で、9.8の重大なゼロクリックの脆弱性があり、影響を受けるインスタンスでのリモートコード実行(RCE)を引き起こすため、直ちに対応が必要な重大な脅威となっています。 SOC Primeプラットフォーム では、タイムリーに攻撃試行を検出するための無料Sigmaルールを提供し、集団サイバー防御を強化します。

MS Officeの疑わしいファイルドロップ(file_event経由)

このルールは、OLE攻撃に一般的に結びつけられる .rtf ファイルまたは他の疑わしいファイル形式と相互作用するシステムを識別するのに役立ち、特に高リスクの拡張子を積極的に処理するホストのパッチを当てることに重点を置いています(例: .rtf, .dll, .exe)。この検出は、複数のSIEM、EDR、およびデータレイクソリューションと互換性があり、 MITRE ATT&CKのクライアント実行のためのエクスプロイト(T1203)技術およびフィッシング:スピアフィッシングアタッチメント(T1566.001)サブテクニックに対応しています。さらに、このルールはCTI参照、攻撃のタイムラインなどの広範なメタデータで充実しています。

脆弱性の攻撃を試みる新しいルールがThreat Detection Marketplaceに追加されるのを追跡するために、より関連性のあるコンテンツを探しているセキュリティ専門家には、 CVE-2025-21298タグを使用することをお勧めします。また、サイバー防御者は、積極的な脆弱性攻撃検出を目指した完全な検出スタックにアクセスすることができます。 検出を探索 ボタンを押してください。

検出を探索

CVE-2025-21298の分析

CVE-2025-21298は、Microsoftの最新の2025年Patch Tuesdayアップデートで対処された重大なゼロクリックRCE脆弱性で、CVSSスコアに基づき9.8と評価されています。この欠陥は、被害者を引き込むためのフィッシングキャンペーンで添付ファイルやリンクとして送信される有害なRTF文書で引き起こされることがあります。

この脆弱性は、ドキュメントやオブジェクトの埋め込みとリンクを可能にする技術であるWindows OLEに存在します。 Microsoftによると、被害者がOutlookで特別に作成されたメールを開くかプレビューすると、攻撃が発生する可能性があります。攻撃者は悪意のあるメールを送信することでこの欠陥を武器化することができ、Outlookでメールを開くかプレビューするだけで、ターゲットシステム上でRCEを引き起こすことができます。

防御者は、CVE-2025-21298を、攻撃の複雑さが低く、ユーザーの関与が低いことから、組織にとって重大な脅威と見なしています。成功すると、脆弱性はシステム全体の侵害を引き起こし、攻撃者に任意のコードを実行し、攻撃的なソフトウェアをインストールし、データを変更または削除し、機密情報にアクセスする権限を与えます。

CVE-2025-21298の潜在的な緩和策として、特にOutlookのようなメールクライアントに関しては、パッチを直ちに適用することが不可欠です。必要なアップデートをインストールできない組織のために、防御者はMicrosoftが提供する回避策を使用して、未知の送信元からのRTFファイルをプレーンテキスト形式で開くことを推奨します。 SOC Primeプラットフォーム を活用して、積極的な脆弱性攻撃と高度な脅威検出、攻撃自動探索、および情報駆動型検出エンジニアリング用の完全な製品スイートを使用して新たなサイバー脅威に対する将来性のある防御を行ってください。

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

CVE-2025-49144 脆弱性:Notepad++の重大な権限昇格の欠陥により、システム全体が乗っ取られる可能性
ブログ, 最新の脅威 — 10 分で読めます
CVE-2025-49144 脆弱性:Notepad++の重大な権限昇格の欠陥により、システム全体が乗っ取られる可能性
Veronika Telychko
CVE-2025-6018およびCVE-2025-6019脆弱性の悪用:ローカル権限昇格の欠陥を連鎖させることで、攻撃者が大多数のLinuxディストリビューションでルートアクセスを得る
ブログ, 最新の脅威 — 8 分で読めます
CVE-2025-6018およびCVE-2025-6019脆弱性の悪用:ローカル権限昇格の欠陥を連鎖させることで、攻撃者が大多数のLinuxディストリビューションでルートアクセスを得る
Veronika Telychko
CVE-2025-4123 脆弱性:「Grafana のゴースト」ゼロデイ攻撃が悪意のあるアカウント乗っ取りを可能に
ブログ, 最新の脅威 — 9 分で読めます
CVE-2025-4123 脆弱性:「Grafana のゴースト」ゼロデイ攻撃が悪意のあるアカウント乗っ取りを可能に
Veronika Telychko