Windowsのゼロデイ脆弱性CVE-2021-40444について、その脆弱性がどのように攻撃に悪用されているのか、企業ネットワークを乗っ取るという攻撃者の目標について、新たな詳細が明らかになりました。
CVE-2021-40444として追跡されているこのInternet Explorer MSHTMLのリモートコード実行の脆弱性は、マイクロソフトによって開示されましたが、まだパッチが適用されていないため、詳細情報はほとんどありません。
マイクロソフトが共有した唯一の情報は、この脆弱性が悪意のあるActiveXコントロールを使用して、Windows 10上のOffice 365およびOffice 2019を悪用し、影響を受けるコンピュータにマルウェアをダウンロードしてインストールするというものでした。
CVE-2021-40444ゼロデイが非常に重要な理由
この脆弱性が公表されてからセキュリティ研究者たちはTwitterで、Microsoft Officeの保護機能がこの脆弱性の悪用をブロックするにもかかわらず、危険性を警告しています。
Officeは文書を開く際に、その文書に「Mark of the Web」(MoTW)と呼ばれるタグが付いているかどうかをチェックします。
このタグが存在する場合、Microsoftは文書を読み取り専用モードで開き、ユーザーが「編集を有効にする」ボタンをクリックしない限り、エクスプロイトを効果的にブロックします。
ただOfficeの保護機能によってユーザーが最初に保護されていたとしても、多くのユーザーがこの警告を無視して「編集を有効にする」ボタンをクリックしてしまうこと、またドキュメントがMoTWフラグを受け取らない方法は数多くあり、この防御策を事実上否定することになると警告しています。
ドキュメントがコンテナに入っていて、それがMotWに対応していないものによって処理された場合、そのコンテナがインターネットからダウンロードされたものであるという事実はなくなります。例えば、7Zipがインターネットから送られてきたアーカイブを開いた場合、抽出されたコンテンツにはインターネットから送られてきたことを示すものはありません。つまり、MotWもProtected Viewもありません。
同様に、ドキュメントがISOファイルのようなコンテナに入っている場合、Windowsユーザーは単にISOをダブルクリックして開くことができます。
しかし、Windowsはそのコンテンツがインターネットから来たものとしては扱いません。つまり、MotWでもなく、Protected Viewでもないのです。
この攻撃はマクロよりも危険です。なぜなら、マクロの実行を無効にするか、またはその他の方法で制限することを選択した組織は、Officeドキュメントを開いただけで、任意のコード実行の可能性が残っているからです。
攻撃者が被害者のコンピュータにリモートアクセスできるようになると、それを利用してネットワーク全体に横展開し、さらにマルウェアをインストールしたり、ファイルを盗んだり、ランサムウェアを展開したりします。
この脆弱性は非常に深刻であるため、ユーザは信頼できる送信元から送られてきたものでない限り、添付ファイルを開かないよう強くお勧めします。
マイクロソフト社のパッチ配信の火曜日もすぐですがそれまでにバグを修正し、十分なテストを行うための十分な時間が確保できるかどうかは不明です。
Comments