Microsoft は本日、複数の Windows および Office 製品において、悪意のある Office ドキュメントを介してリモートでコードが実行されるために悪用された、パッチが適用されていないゼロデイ セキュリティ バグを明らかにしました。
認証されていない攻撃者は、ユーザーの介入を必要とせずに、高度に複雑な攻撃でこの脆弱性 ( CVE-2023-36884として追跡) を悪用する可能性があります。
悪用に成功すると、機密性、可用性、完全性が完全に失われる可能性があり、攻撃者が機密情報にアクセスしたり、システム保護を無効にしたり、侵害されたシステムへのアクセスを拒否したりできるようになります。
「Microsoftは、WindowsおよびOffice製品に影響を与える一連のリモートコード実行の脆弱性に関する報告を調査している。Microsoftは、特別に作成されたMicrosoft Officeドキュメントを使用してこれらの脆弱性を悪用しようとする標的型攻撃を認識している」とレドモンド氏は本日述べた。
「攻撃者は、被害者のコンテキストでリモートでコードを実行できるように特別に細工した Microsoft Office ドキュメントを作成する可能性があります。ただし、攻撃者は被害者に悪意のあるファイルを開かせる必要があります。」
この欠陥はまだ解決されていないが、Microsoftは月次リリースプロセスまたはアウトオブバンドセキュリティアップデートを通じて顧客にパッチを提供すると述べている。
CVE-2023-36884 パッチが利用可能になるまで、Defender for Office を使用している顧客および「すべての Office アプリケーションが子プロセスの作成をブロックする」攻撃対象領域削減ルールを有効にしている顧客は、バグを悪用しようとするフィッシング攻撃から保護されると Microsoft は述べています。
これらの保護を使用しない場合は、次のアプリケーション名をデータ 1 の REG_DWORD 型の値としてHKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftInternet ExplorerMainFeatureControlFEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATIONレジストリ キーに追加できます。
- Excel.exe
- グラフ.exe
- MSアクセス.exe
- MSPub.exe
- PowerPoint.exe
- Visio.exe
- WinProj.exe
- WinWord.exe
- ワードパッド.exe
NATO首脳会議出席者を狙った攻撃に悪用される
同社は別のブログ投稿で、CVE-2023-36884のバグが悪用され、リトアニアのビリニュスで開催されたNATOサミットに参加する組織を標的とした最近の攻撃に悪用されたと述べている。
ウクライナのコンピュータ緊急対応チーム (CERT-UA)とBlackBerry の諜報チームの研究者が発行したレポートに記載されているように、攻撃者はウクライナ世界会議組織になりすました悪意のある文書を使用して、MagicSpell ローダーや RomCom バックドアなどのマルウェア ペイロードをインストールしました。
BlackBerryのセキュリティ研究者らは、「悪用に成功すると、攻撃者は脆弱性を悪用するように設計された悪意のある.docxまたは.rtfドキュメントを作成し、リモートコード実行(RCE)ベースの攻撃を実行できるようになる」と述べた。
「これは、特別に作成されたドキュメントを利用して MSDT の脆弱なバージョンを実行することによって実現されます。これにより、攻撃者がユーティリティにコマンドを渡して実行できるようになります。」
レドモンド氏によると、RomComはロシアに本拠を置くサイバー犯罪グループ(Storm-0978としても追跡されている)で、ランサムウェアや恐喝攻撃のほか、資格情報の窃取に重点を置いたキャンペーンを行っていることで知られており、おそらく諜報活動の支援を目的としているという。
「2023年6月に検出されたこの攻撃者の最新のキャンペーンには、RomComに類似したバックドアを配信するためのCVE-2023-36884の悪用が含まれていた」とMicrosoftは火曜日に述べた。
Comments