マイクロソフトは、Windowsコンポーネントの1つに存在するゼロデイ脆弱性が武器化されたOffice文書を使用した攻撃に悪用されていたことを受け、パッチを公開しました。
マイクロソフトはこの攻撃について警告しており、基本的な緩和策を発表していましたが、毎月のパッチチューズデーのセキュリティアップデートの一環として、今回正式な修正プログラムをリリースしました。
修正プログラムは、CVE-2021-40444として追跡され、Windows 7およびWindows Server 2008までのWindowsバージョンが影響を受けるものとなっています。
マイクロソフトは、Microsoft Windowsに影響を与えるMSHTMLのリモートコード実行の脆弱性に関する報告を調査しています。
マイクロソフトは、特別に細工されたMicrosoft Office文書を使用してこの脆弱性を悪用しようとする標的型攻撃を確認しており、攻撃者はブラウザのレンダリングエンジンをホストするMicrosoft Officeドキュメントで使用されるように、悪意のあるActiveXコントロールを作成することができます。
そして、攻撃者はユーザーに悪意のある文書を開くように説得する必要があり、システム上のユーザー権限が少なくなるようにアカウントが設定されているユーザーは管理者ユーザー権限で操作しているユーザーよりも影響が少ない可能性があります。
この脆弱性は、旧Internet ExplorerのブラウザエンジンであるTridentとして知られるMicrosoft MHTMLコンポーネントに存在し、マイクロソフト社によると、攻撃社が悪意のあるOfficeファイルを作成し、MHTMLコンポーネントを使用してWebベースのコンテンツを文書内に読み込み、悪意のあるActiveXコントロールなど、CVE-2021-40444を悪用して基盤となるWindows OS上でコードを実行する事例が発見したとのことです。
攻撃が成功すると、攻撃社がユーザーのOSを制御できるようになる、とマイクロソフト社は発表しています。
セキュリティ研究者やマルウェア開発者は、この脆弱性を悪用するための概念実証コードをGitHubとアンダーグラウンドのハッキングフォーラムの両方で公開しました。このコードはすでに攻撃に使用されています。
複数のセキュリティ研究者が、この脆弱性はOfficeのコア動作の奥深くにあるため、攻撃者はこの問題を悪用する新たな方法を容易に見つけることができ、MicrosoftのPrintNightmareの終わらないパッチの難問に似た別のシナリオが生まれるとコメントしています。
PrintNightmareの脆弱性を利用したランサムウェア「Magniber」が登場:韓国に侵入か
2021年9月のパッチチューズデーでは85のバグが修正
CVE-2021の修正以外にも、マイクロソフトは他のセキュリティアップデートを公開しており、85件のバグに対するパッチを提供しています。そのうち48件はEdge/Chromium関連の問題です。
これらのうち、最も重要なのはインターネット上で詳細が公に共有されているWindows DNSサービスにおける特権の昇格であるCVE-2021-36968です。
レコーデッド・フューチャー社の脅威インテリジェンス・アナリストであるアラン・リスカ氏は、「マイクロソフト社によると、この脆弱性は実世界では悪用されていないとのことです。」と述べています。
リスカ氏によると、注目すべき他の脆弱性として、CVE-2021-36965とCVE-2021-26435があり、今回のパッチをできるだけ早く適用すべきとコメントしています。
Comments