AIハッキング - ハッカーは人工知能をサイバー攻撃にどう利用するか

今すぐ読む
サイト翻訳には人工知能を利用しており、正確性を追求しておりますが、必ずしも100%正確とは限りません。ご了承ください。
ホーム/ ブログ / CVE-2023-21716: 悪意のあるRTFファイルの保護...
製品に関するお知らせ

CVE-2023-21716: コンテンツの解除と再構成による悪意のある RTF ファイルの保護

By ヌット・ンゴ
この記事を共有する

CVE-2023-21716(Microsoft Word RTF フォントテーブルのヒープ破損)の概要

マイクロソフトは最近、Office、SharePoint、および 365 アプリケーションのいくつかのバージョンに影響を及ぼす重大なリモートコード実行(RCE)の脆弱性CVE-2023-21716 について説明するセキュリティアドバイザリを発行した。

この脆弱性は、Microsoft Word のリッチテキストフォーマット (RTF) パーサーにおいて、過剰な数のフォント (f###) を含むフォントテーブル (fonttbl) を処理する際のヒープ破壊の脆弱性によって引き起こされます。攻撃者は、悪意のある電子メールを送信するか、または RTF ペイロードを含むファイルをアップロードし、ユーザがそのファイルを開くように仕向けることで、この脆弱性を悪用することができます。

被害者が悪意のあるファイルを開くと、攻撃者はファイルを開くために使用したアプリケーション内で任意のコードを実行するためのアクセス権を得る。また、プレビュー・ペインでさえも攻撃を開始するために使用される可能性があります。その結果、マルウェアのインストール、機密データの窃取、その他の悪意のある行為につながる可能性があります。

この脆弱性は、高い悪用可能性と被害者が必要とする最小限の操作により、CVSSスコア9.8(クリティカル)が与えられている。

を使用して、悪意のあるコードを含むRFTファイルをスキャンしました。 OPSWAT MetaDefenderを使用してスキャンしたところ、21のマルウェア対策エンジンのうち3つしかこの脅威を検出できませんでした。その結果、シグネチャベースの検出方法に依存している組織は、潜在的に攻撃に対して脆弱になる可能性があります。

スクリーンショットの悪質なRTFファイルのマルウェア解析結果

脆弱性の回避策は生産性に影響する

マイクロソフト社は2023年2月14日のパッチ・チューズデー・アップデートでパッチを公開した。対象製品のアップデートを推奨している。

修正プログラムを適用できないユーザーに対して、マイクロソフト社では、ユーザーが未知のソースや信頼できないソースからRTFファイルを開くリスクを低減するための回避策をいくつか提案しています。しかし、これらの回避策を実施することは容易ではなく、また通常のビジネス活動を維持する上でも効率的ではありません。

  • マイクロソフトは、プレーンテキスト形式で電子メールを読むことを提案しているが、リッチテキストやメディアがないため、採用される可能性は低い。このソリューションは脅威を取り除くことはできるが、画像、アニメーション、太字や斜体のテキスト、カラーフォント、その他のテキストフォーマットの表示には対応していない。その結果、電子メール内の重要な情報が大幅に失われてしまう。
  • このポリシーは、Officeアプリケーションが、出所が不明または信頼できないRTFファイルを開かないように制限するものです。この方法を実行するには、Windowsレジストリを変更する必要がある。しかし、レジストリエディタの不適切な使用は、オペレーティングシステムの再インストールが必要となるような重大な問題を引き起こす可能性があるため、注意が必要である。さらに、「除外ディレクトリ」が指定されていない場合、ユーザーはRTF文書を一切開けなくなる可能性がある。

複雑な回避策や使い勝手を犠牲にすることなく、安全性を維持

複雑なソリューションを扱ったり、ファイルの使い勝手を犠牲にしたりする代わりに、Deep CDR (Content Disarm and Reconstruction))は救済策を提供する。

Deep CDR テクノロジーは、高度な脅威やゼロデイ脅威から保護します。電子メールの添付ファイルやファイルのアップロードなど、受信ファイルから悪意のあるコンテンツを識別・除去し、安全で使用可能なファイルを提供します。

RTFファイルに埋め込まれたすべてのオブジェクトを削除し、検証済みの安全なコンポーネントからファイルを再構築することで、Deep CDR 、ファイルがサニタイズされ、アクセスに対して安全で、潜在的な脅威がないことを保証します。

Deep CDR プロセスには以下のステップが含まれる:

Deep Content Disarm and Reconstruction プロセス図
コンテンツ解除と再構築のRTFファイル設定オプションのスクリーンショット

CDRテクノロジーは、特定のマルウェアシグネチャの検出やブロックに依存しないため、未知の高度な脅威からの保護に非常に効果的です。

Deep CDR を使用すると、管理者はRFTファイルのサニタイズ処理を設定できます。出力ファイルに脆弱性がないことを保証するために、すべてのRTFファイルは、フォントテーブル内のフォント数を決定するための分析を受けます。このカウントが事前に設定された制限を超えた場合、ファイルからフォントテーブルが削除されます。

デフォルトでは、標準的な上限である4096フォント以上のフォントテーブルは削除されます。しかし、この設定は、情報に基づいた意思決定を可能にし、特定のユースケースに沿うようにカスタマイズすることができます。

Deep CDR は、サニタイズされたオブジェクトと実行されたアクションを一覧表示する詳細なビューを提供し、ユースケースに適合する構成を定義するための情報に基づいた選択を可能にします。以下は、Deep CDR によってサニタイズされた後の、悪意のある RTF ファイルの結果です。埋め込まれたフォントが削除され、攻撃ベクトルが排除されました。その結果、ユーザは安心してファイルを開くことができます。

埋め込みフォントを削除したRTFファイルのスクリーンショット

元の悪意のあるRTFファイルとサニタイズされたバージョンの両方を開くことで、異常な埋め込みフォントが削除されていることが確認できる。

2つのRTFファイルを並べて比較した画像。左の画像は悪意のあるフォントが埋め込まれたRTFファイル。右の画像は、悪意のあるフォントが埋め込まれていないサニタイズされたファイルです。

ゼロデイマルウェアや高度な回避型マルウェアを防止するための最適なセキュリティ・ソリューションをご紹介します。 Deep CDRおよび Multiscanningまたは OPSWAT テクニカルエキスパートにご相談ください。

最新の投稿

OPSWAT ニュースレター

OPSWAT 最新情報を、イベント情報とともにお届けします。 業界を牽引するニュースをお届けします。
サインアップする

ソーシャルメディアでフォローする

LinkedIn、Facebook、Twitter、YouTubeでOPSWAT !

OPSWATで最新情報をお届けします!

今すぐご登録ください、 ストーリー、イベント情報などをお届けします。
購読する