Microsoft Officeのゼロデイ脆弱性がPowerShell実行に悪用される
2022年5月27日、Microsoft Officeのゼロデイ・リモートコード実行バグがNao_Secによって発見され(1)、研究者Kevin Beaumontによって「Follina」と名付けられた。この脆弱性は、ダウンロードされたMicrosoft Officeファイルを悪用することで、認証されていない人物が永続的なアクセス権を獲得し、リモートでターゲット・システムを制御することを可能にする。ハッカーはこの脆弱性を利用して、Officeマクロが無効化されている場合でも、Microsoft Diagnostic Tool(MSDT)を通じて悪意のあるPowerShellコマンドを実行することができる。
「このドキュメントはWordのリモートテンプレート機能を利用して、リモートのWebサーバーからHTMLファイルを取得し、そのHTMLファイルはms-msdt MSProtocol URIスキームを使ってコードをロードし、PowerShellを実行する」と研究者のKevin Beaumont氏は説明する。「それは可能ではないはずだ。(2)
2022年5月30日、マイクロソフトはCVE-2022-30190を発表した。Microsoft Officeのバージョン2013、2016、2019、2021、およびProfessional Plusエディションが影響を受ける。しかし、2022年6月1日現在、利用可能なパッチはありません。
このブログ記事では、マルウェアのサンプルを分析し、攻撃から身を守る方法を紹介します。
CVE-2022-30190を悪用した攻撃の概要
サンプルを分析した結果、この攻撃手法は新しいものではないことがわかりました。脅威の作成者は、2021年9月にCVE-2021-40444を悪用したキャンペーンと同様の攻撃ベクトルを使用していました。どちらの攻撃も、悪意のあるHTMLファイルにつながる関係ファイル内の外部リンクを使用していました。
サイバー犯罪者は、フィッシングまたはソーシャルエンジニアリングを使用して、兵器化されたMicrosoft Wordファイル(.docx)を標的の被害者に配信し、それを開くようにだました。このファイルには、HTMLを参照する外部URLが含まれており、そのHTMLには異常なJavaScriptコードが含まれています。
このJavaScriptは、リモートでコードを実行できるms-msdt:スキームのURLを参照する。
攻撃を防ぐには
2022年5月30日、マイクロソフトは、新たに露呈した脆弱性を緩和するユーザーをサポートするための回避策に関するガイダンスを発表した(3)。現在のところ、MSDT URLプロトコルを無効にすることが最も簡単な選択肢のようだ。とはいえ、MSDT URLプロトコルを無効にした場合にどのような影響があるかは、まだ明らかになっていない。
しかし OPSWAT MetaDefenderを使用しているのであれば Deep CDR(Content Disarm and Reconstruction)技術を使っているのであれば、これらのことを心配する必要はありません。有害なファイルに隠されたすべてのアクティブコンテンツは、ユーザーに到達する前にDeep CDR によって無効化されるため、ネットワークとユーザーは攻撃から安全です。
以下では、Deep CDR が悪意のあるファイルをどのように処理し、それがウェブアプリケーションにアップロードされたものであれ、電子メールの添付ファイルとして受信されたものであれ、ユーザーのために安全に消費できるファイルを生成する方法を示します。
有害なマイクロソフト・ワード・ファイルを中和する
悪意のある URL を持つ .docx ファイルが電子メールやファイルアップロードなどを介して組織のネットワークに入ると、MetaDefender は、OPSWAT Metascan を使用して複数のマルウェア対策エンジンでスキャンし、OLE オブジェクト、ハイパーリンク、スクリプトなどの潜在的な脅威についてファイルを検査します。次に、Deep CDR の設定に応じて、埋め込まれたすべての脅威が削除されるか、再帰的にサニタイズされます。ファイル処理結果に示すように、OLEオブジェクトが削除され、XMLコンテンツがサニタイズされました。
処理後、.docx文書には悪意のあるHTMLリンクが含まれなくなり、「空白」のリンクに置き換えられます。その結果、社内のユーザーがファイルを開いても、マルウェアが読み込まれて実行されることはありません。
OPSWAT MetascanとMetaDefender Sandbox の両方で、処理後にリリースされたクリーンアップされたファイルをスキャンすると、ドキュメントにリスクがないことがわかります。
HTMLファイルのJavaScriptを無効にする
Deep CDR Deep CDR は、潜在的な脅威と見なされるため、読み込まれたHTMLファイル内の悪意のあるJavaScriptを削除します。JavaScriptがなければ、PowerShellコードをダウンロードして実行することはできません。ユーザーは、脅威のない再構築されたファイルを開き、完全なユーザビリティで使用することができます。
検知に頼らない
この新しい悪用手法は、マルウェアがリモートテンプレートからロードされるため検出が難しく、.docxファイルには悪意のあるコードが含まれていないため、ネットワーク防御を回避することができる(2)。同様に、サイバー犯罪者は、脆弱性を積極的に悪用し、マクロ、外部リンク、OLEオブジェクトなどのMicrosoft Officeプログラムや機能を活用したさまざまな攻撃ベクトルを悪用して、マルウェアを配信したり、マルウェアを起動させたりし続けています。真のゼロトラストを実現するためには、ゼロデイ攻撃を防ぐための検知から防御までのセキュリティモデルに頼ることはできません。組織には、既知および未知のマルウェアの両方から保護する包括的な脅威防御ソリューションが必要です。
Deep CDR 、高度な回避型マルウェアやゼロデイ攻撃を撃退する革新的かつ効果的なソリューションです。疑わしい実行可能コンポーネントをすべて解除することで、攻撃を初期段階で阻止すると同時に、100%脅威のない安全なファイルを提供します。
Deep CDR テクノロジーの詳細については、こちらをご覧ください。武器化された文書に対する包括的な保護を組織に提供する方法について、 OPSWAT のスペシャリストに今すぐご相談ください。
