Microsoft Officeのゼロデイ脆弱性がPowerShell実行に悪用される
2022年5月27日、Microsoft Officeのゼロデイ・リモートコード実行バグがNao_Secによって発見され(1)、研究者Kevin Beaumontによって「Follina」と名付けられた。この脆弱性は、ダウンロードされたMicrosoft Officeファイルを悪用することで、認証されていない人物が永続的なアクセス権を獲得し、リモートでターゲット・システムを制御することを可能にする。ハッカーはこの脆弱性を利用して、Officeマクロが無効化されている場合でも、Microsoft Diagnostic Tool(MSDT)を通じて悪意のあるPowerShellコマンドを実行することができる。
「このドキュメントはWordのリモートテンプレート機能を利用して、リモートのWebサーバーからHTMLファイルを取得し、そのHTMLファイルはms-msdt MSProtocol URIスキームを使ってコードをロードし、PowerShellを実行する」と研究者のKevin Beaumont氏は説明する。「それは可能ではないはずだ。(2)
2022年5月30日、マイクロソフトはCVE-2022-30190を発表した。Microsoft Officeのバージョン2013、2016、2019、2021、およびProfessional Plusエディションが影響を受ける。しかし、2022年6月1日現在、利用可能なパッチはありません。
このブログ記事では、マルウェアのサンプルを分析し、攻撃から身を守る方法を紹介します。
CVE-2022-30190を悪用した攻撃の概要
サンプルを分析した結果、この攻撃手法は新しいものではないことがわかりました。脅威の作成者は、2021年9月にCVE-2021-40444を悪用したキャンペーンと同様の攻撃ベクトルを使用していました。どちらの攻撃も、悪意のあるHTMLファイルにつながる関係ファイル内の外部リンクを使用していました。
サイバー犯罪者は、フィッシングまたはソーシャルエンジニアリングを使用して、兵器化されたMicrosoft Wordファイル(.docx)を標的の被害者に配信し、それを開くようにだました。このファイルには、HTMLを参照する外部URLが含まれており、そのHTMLには異常なJavaScriptコードが含まれています。
このJavaScriptは、リモートでコードを実行できるms-msdt:スキームのURLを参照する。
攻撃を防ぐには
On 30 May 2022, Microsoft published guidance on workarounds to support users mitigating the newly exposed vulnerability (3). Currently, disabling the MSDT URL protocol appears to be the easiest option. Nevertheless, it is not yet clear what the impact of disabling MSDT URL protocol could be.
However, if you are using OPSWAT MetaDefender with our industry-leading Deep CDR™ Technology (Content Disarm and Reconstruction) technology, you don't have to worry about all of these things. Your network and users are safe from the attacks since all the active content concealed in the harmful files is disabled by Deep CDR™ Technology before reaching your users.
Hereunder, we demonstrate how Deep CDR™ Technology handles the malicious file and generates a safe-to-consume file for your users whether it was uploaded to your web application or received as an email attachment.
有害なマイクロソフト・ワード・ファイルを中和する
Once the .docx file with a malicious URL enters your organization's network via emails, file uploads, etc., MetaDefender scans it with multiple anti-malware engines using OPSWAT Metascan and examines the file for potential threats, such as OLE objects, hyperlinks, scripts, etc. Next, all the embedded threats are removed or recursively sanitized depending on Deep CDR™ Technology configurations. As shown in our file processing result, an OLE object was removed and the XML content was sanitized.
処理後、.docx文書には悪意のあるHTMLリンクが含まれなくなり、「空白」のリンクに置き換えられます。その結果、社内のユーザーがファイルを開いても、マルウェアが読み込まれて実行されることはありません。
OPSWAT MetascanとMetaDefender Sandbox の両方で、処理後にリリースされたクリーンアップされたファイルをスキャンすると、ドキュメントにリスクがないことがわかります。
HTMLファイルのJavaScriptを無効にする
In case you configure Deep CDR™ Technology engine to accept URLs in files, you are still completely protected. Deep CDR™ Technology removes the malicious JavaScript in the loaded HTML file because it's considered as a potential threat. Without the JavaScript, the PowerShell code cannot be downloaded and executed. Your users can open and use the threat-free reconstructed file with full usability.
検知に頼らない
This new exploitation method is hard to detect because the malware is loaded from a remote template, so the .docx file can bypass the network defense as it does not contain malicious code (2). Likewise, cybercriminals continue to actively exploit vulnerabilities and abuse various attack vectors leveraging Microsoft Office programs and features like macros, external links, OLE objects, and so on to deliver or trigger malware. For a true zero trust implementation, you cannot rely on a detect-to-protect security model to prevent zero-day attacks. Organizations need a comprehensive threat prevention solution to protect them from both known and unknown malware.
Deep CDR™ Technology is an innovative and effective solution to defeat advanced evasive malware and zero-day attacks. It stops the attacks at the earliest stage by disarming all suspect executable components, and at the same time, providing 100% threat-free safe to consume files.
Learn more about Deep CDR™ Technology. To see how we can help provide comprehensive protection to your organization against weaponized documents, talk to an OPSWAT specialist now.
