Microsoft Officeのゼロデイ脆弱性がPowerShell実行に悪用される
2022年5月27日、Microsoft Officeのゼロデイ・リモートコード実行バグがNao_Secによって発見され(1)、研究者Kevin Beaumontによって「Follina」と名付けられた。この脆弱性は、ダウンロードされたMicrosoft Officeファイルを悪用することで、認証されていない人物が永続的なアクセス権を獲得し、リモートでターゲット・システムを制御することを可能にする。ハッカーはこの脆弱性を利用して、Officeマクロが無効化されている場合でも、Microsoft Diagnostic Tool(MSDT)を通じて悪意のあるPowerShellコマンドを実行することができる。
「このドキュメントはWordのリモートテンプレート機能を利用して、リモートのWebサーバーからHTMLファイルを取得し、そのHTMLファイルはms-msdt MSProtocol URIスキームを使ってコードをロードし、PowerShellを実行する」と研究者のKevin Beaumont氏は説明する。「それは可能ではないはずだ。(2)
2022年5月30日、マイクロソフトはCVE-2022-30190を発表した。Microsoft Officeのバージョン2013、2016、2019、2021、およびProfessional Plusエディションが影響を受ける。しかし、2022年6月1日現在、利用可能なパッチはありません。
このブログ記事では、マルウェアのサンプルを分析し、攻撃から身を守る方法を紹介します。
CVE-2022-30190を悪用した攻撃の概要
サンプルを分析した結果、この攻撃手法は新しいものではないことがわかりました。脅威の作成者は、2021年9月にCVE-2021-40444を悪用したキャンペーンと同様の攻撃ベクトルを使用していました。どちらの攻撃も、悪意のあるHTMLファイルにつながる関係ファイル内の外部リンクを使用していました。
サイバー犯罪者は、フィッシングまたはソーシャルエンジニアリングを使用して、兵器化されたMicrosoft Wordファイル(.docx)を標的の被害者に配信し、それを開くようにだました。このファイルには、HTMLを参照する外部URLが含まれており、そのHTMLには異常なJavaScriptコードが含まれています。
このJavaScriptは、リモートでコードを実行できるms-msdt:スキームのURLを参照する。
攻撃を防ぐには
2022年5月30日、マイクロソフトは、新たに発見された脆弱性(3)の影響を軽減するための回避策に関するガイダンスを公開しました。現時点では、MSDT URLプロトコルを無効にすることが最も簡単な対策であるようです。とはいえ、MSDT URLプロトコルを無効にした場合にどのような影響が生じるかは、まだ明らかになっていません。
ただし、もしあなたが OPSWAT MetaDefender と、業界をリードする当社のDeep CDR™ テクノロジー(コンテンツの無害化および再構築)を併用している場合は、こうしたことを一切心配する必要はありません。 有害なファイルに隠されたすべてのアクティブなコンテンツは、ユーザーに届く前に Deep CDR™ テクノロジーによって無効化されるため、ネットワークとユーザーは攻撃から守られます。
以下では、Deep CDR™ テクノロジーが、Web アプリケーションにアップロードされたファイルや電子メールの添付ファイルとして受信したファイルなど、悪意のあるファイルをどのように処理し、ユーザーが安全に利用できるファイルを生成するかについてご説明します。
有害なマイクロソフト・ワード・ファイルを中和する
悪意のあるURLを含む.docxファイルが、電子メールやファイルのアップロードなどを通じて組織のネットワークに侵入すると、MetaDefender OPSWAT を使用して複数のマルウェア対策エンジンでそのファイルをMetaDefender 、OLEオブジェクト、ハイパーリンク、スクリプトなどの潜在的な脅威を検査します。次に、Deep CDR™テクノロジーの設定に応じて、埋め込まれたすべての脅威が削除されるか、再帰的に無害化されます。ファイル処理の結果に示されているように、OLEオブジェクトが削除され、XMLコンテンツがサニタイズされました。
処理後、.docx文書には悪意のあるHTMLリンクが含まれなくなり、「空白」のリンクに置き換えられます。その結果、社内のユーザーがファイルを開いても、マルウェアが読み込まれて実行されることはありません。
この処理後に公開されたクリーンなファイルを、OPSWAT MetaDefender Aetherの両方でスキャンしたところ、この文書にはリスクがないことが確認できました。
HTMLファイルのJavaScriptを無効にする
Deep CDR™ Technologyエンジンを設定してファイル内のURLを受け入れるようにしても、セキュリティは完全に確保されます。Deep CDR™ Technologyは、読み込まれたHTMLファイル内の悪意のあるJavaScriptを、潜在的な脅威と見なして削除します。JavaScriptがなければ、PowerShellコードはダウンロードも実行もできません。ユーザーは、脅威が排除された再構築済みファイルを、機能を完全に活用して開いて使用することができます。
検知に頼らない
この新しい攻撃手法は、マルウェアがリモートのテンプレートから読み込まれるため検知が困難であり、.docx ファイル自体には悪意のあるコードが含まれていないため、ネットワーク防御をすり抜けることができます (2)。同様に、サイバー犯罪者は、マクロ、外部リンク、OLE オブジェクトなどの Microsoft Office のプログラムや機能を活用してマルウェアを配信または起動させ、脆弱性を悪用し、さまざまな攻撃ベクトルを悪用し続けています。 真のゼロトラストを実現するためには、ゼロデイ攻撃を防ぐために「検知して防御する」というセキュリティモデルに依存することはできません。組織には、既知および未知のマルウェアの両方から組織を守るための包括的な脅威防止ソリューションが必要です。
Deep CDR™テクノロジーは、高度な回避型マルウェアやゼロデイ攻撃を阻止するための革新的かつ効果的なソリューションです。このテクノロジーは、疑わしい実行可能コンポーネントをすべて無力化することで、攻撃を初期段階で阻止すると同時に、100%脅威のない安全なファイルを提供します。
Deep CDR™ テクノロジーの詳細をご覧ください。武器化されたドキュメントから組織を包括的に保護する方法については、今すぐOPSWAT にご相談ください。
