Microsoftは、Windows 10上のOffice 365およびOffice 2019に対する標的型攻撃で悪用されているWindowsのリモートコード実行脆弱性に対する緩和策を公開しました。
マイクロソフトは、特別に細工されたMicrosoft Office文書を使用してこの脆弱性を悪用しようとする標的型攻撃を認識しています。
この脆弱性は、Microsoft Officeドキュメントでも使用されているブラウザのレンダリングエンジン「MSHTML」に存在するものです。
CVE-2021-40444とトラックされているこの問題は、Windows Server 2008から2019、Windows 8.1から10に影響し、深刻度は最大10段階のうち8.8となっています。
攻撃者は、ブラウザのレンダリングエンジンをホストするMicrosoft Officeドキュメントで使用されるように、悪意のあるActiveXコントロールを作成することができます。そして、攻撃者は、ユーザーに悪意のある文書を開くように騙す必要があります
Microsoft Officeがデフォルトの設定で実行され、Webからのドキュメントが保護されたビューモードまたはApplication Guard for Office 365で開かれる場合は、この攻撃は阻止されます。
Protected Viewは、編集機能のほとんどを無効にした読み取り専用モードで、Application Guardは信頼できない文書を隔離し、企業リソースやイントラネット、システム上の他のファイルへのアクセスを拒否する機能です。
マイクロソフト社の「Defender Antivirus」および「Defender for Endpoint」(ビルド1.349.22.0以上)が有効なシステムでは、CVE-2021-40444を悪用しようとする行為から保護することができます。
マイクロソフトのエンタープライズセキュリティプラットフォームでは、この攻撃に関するアラートを “Suspicious Cpl File Execution “として表示します。
この脆弱性を発見・報告したのは、複数のサイバーセキュリティ企業の研究者で、EXPMON社のHaifei Li氏、Mandiant社のDhanesh Kizhakkinan氏、Bryce Abdo氏、Genwei Jiang氏、Microsoft Security Intelligence社のRick Cole氏です。
EXPMON(exploit monitor)はツイートで、Microsoft Officeユーザーを狙った「高度に洗練されたゼロデイ攻撃」を検出した後、この脆弱性を発見したと述べています。
EXPMONの研究者は、Windows 10上の最新のOffice 2019 / Office 365で攻撃を再現しています。
EXPMONのHaifei Li氏は、攻撃者が使用したのは.DOCXファイルだったと述べており、この文書を開くとInternet Explorerのエンジンが読み込まれ、脅威主体のリモートWebページがレンダリングされます。
その後、Webページ内の特定のActiveXコントロールを使用してマルウェアをダウンロードし、悪意のコード実行はマイクロソフト社のアドバイザリで言及されている「『Cplファイル実行』と呼ばれるトリック」を使用して行われます。
この研究者は、この攻撃方法は100%信頼できるものであり、非常に危険なものであると話しています。
CVE-2021-40444ゼロデイ攻撃の回避策
現時点ではセキュリティ更新プログラムが提供されていないため、マイクロソフト社は以下の回避策「Internet ExplorerですべてのActiveXコントロールのインストールを無効にする」を推奨しています –
Windowsレジストリの更新により、すべてのサイトでActiveXが非アクティブになりますが、すでに利用可能なActiveXコントロールは機能し続けます。
ユーザーは、下記のファイルを.REGという拡張子で保存し、実行してポリシーハイブに適用してください。システムを再起動すると、新しい設定が適用されます。
CVE-2021-40444に対するアップデートがまだ提供されていないため、Internet Explorerおよびブラウザを組み込んだアプリケーションでActiveXコントロールが動作しないようにする以下の回避策を公開されています。
ActiveXコントロールを無効にするには
ActiveXコントロールを無効にするには、以下の手順を実行します
メモ帳を開き、以下の文章をテキストファイルに貼り付けます。そして、そのファイルをdisable-activex.regという名前で保存します。レジストリファイルを正しく作成するために、ファイル拡張子の表示が有効になっていることを確認してください。
また、レジストリファイルはこちらからダウンロードすることもできます。
Windowsレジストリエディタ バージョン5.00
[HKEY_LOCAL_MACHINE_SOFTWARE_Policies_Microsoft_Windows_CurrentVersion_Internet Settings_Zones_0]をクリックしてください。
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINESOFTWARE®Policies\Microsoft Windows\CurrentVersion\Internet Settings\Zones\1]。]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINESOFTWARE®Policies\Microsoft Windows\CurrentVersion\Internet Settings\Zones\2】。]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINESOFTWARE®Policies\Microsoft Windows\CurrentVersion\Internet Settings\Zones\3]。]
"1001"=dword:00000003
"1004"=dword:00000003
新しく作成されたdisable-activex.regをダブルクリックします。UACプロンプトが表示されたら、「はい」ボタンをクリックしてレジストリエントリをインポートします。
新しい設定を適用するために、コンピュータを再起動します。
コンピュータを再起動すると、Internet ExplorerでActiveXコントロールが無効になります。
Microsoftがこの脆弱性に対する正式なセキュリティアップデートを提供する際には、作成されたレジストリキーを手動で削除することで、この一時的なレジストリの修正を解除することができます。
または、このregファイルを利用して、エントリを自動的に削除することもできます。
Comments