見逃せないアップデート:Office 2016 および Office 2019 のサポート終了

今すぐ読む
サイト翻訳には人工知能を利用しており、正確性を追求しておりますが、必ずしも100%正確とは限りません。ご了承ください。
ホーム/ ブログ / マイクロソフト、ゼロデイCVE-2021-40444を報告、...
ファイル・セキュリティ

マイクロソフト、ゼロデイCVE-2021-40444を報告。

By OPSWAT
この記事を共有する

マイクロソフトは2021年9月7日、Windows 10にリモートコード実行(RCE)の脆弱性が発生したことを確認した。CVE-2021-40444[1]として分類されるこの脆弱性は、サイバー犯罪者が侵害されたシステムをリモートで制御し、ゼロデイ攻撃を野放しで作成することを可能にします。

この欠陥は、インターネット・エクスプローラーのブラウザ・レンダリング・エンジンであるMSHTMLにある。このエンジンは、Microsoft Office ドキュメントでも使用されています。CVE-2021-40444は現在、Cobalt Strikeペイロード(一般的に悪用される脅威エミュレーションフレームワーク)の配信に使用されていることが知られています。

EXPMONの研究者は、"OfficeユーザーはOfficeファイルについて極めて慎重に "とツイートし、このゼロデイを初めて特定した。彼らは9月5日(日)にマイクロソフト社に報告した。マイクロソフトもその後すぐにセキュリティ勧告を発表し、同社が調査する間の回避策を提案した。9月14日、マイクロソフトはこの脆弱性を修正した [2]。

攻撃者はどのようにCVE-2021-40444を悪用するか

サイバー犯罪者は、Microsoft Office文書(.docx)の中に悪意のあるActiveXコントロールを仕込む可能性があります。このドキュメントは、MSTHMLブラウザ・レンダリング・エンジンと、構築されたウェブページに誘導するOLEObjectのホストとして機能する。

Microsoft WordファイルのOLEObject
図1:Microsoft WordファイルのOLEObject


攻撃者は、標的を欺いてこの文書を開かせる必要がある。開くと、MSTHMLエンジンはActiveXコントロールを使用し、難読化されたスクリプトを含むHTMLファイルを実行し、マルウェアのペイロードやリモートアクセス制御をダウンロードさせる。 

MSHTMLは、難読化されたスクリプトを含むHTMLファイルを実行するようトリガーされる。
図2:MSHTMLが難読化スクリプトを含むHTMLファイルを実行するようトリガーされる


マイクロソフト社は、管理者権限を持つユーザーは、そうでないユーザーやユーザー権限が少ないユーザーよりも、このような攻撃を受けやすいと指摘している。

緩和策と回避策

マイクロソフト社は、Internet ExplorerにインストールされているすべてのActiveXコントロールを無効にすることで、現在の攻撃を軽減することができるとアドバイスしている。これは、ローカルグループポリシーエディタを使用してレジストリを更新することにより、グループポリシーを構成することにより行うことができる。無効にした後、新しいActiveXコントロールはインストールされず、以前のActiveXコントロールは実行され続ける。

CDR™テクノロジーがゼロデイ攻撃からいかに深く保護できるか

コンテンツ無害化と再構築(CDR)は、この脆弱性に関連するリスクの軽減に役立ちます。Deep CDR™テクノロジーは、すべてのファイルが悪意のあるものと仮定し、ファイルコンポーネントを無害化して再構築することで、安全なコンテンツで完全な使用可能性を確保します。この技術は、複雑な脅威やサンドボックス対応脅威、完全な検出回避マルウェアや難読化技術を備えた脅威など、あらゆるファイルベースの脅威を効果的に「無害化」できます。

この場合、Deep CDR™テクノロジーは、OLEオブジェクトやActiveXなどの潜在的な脅威オブジェクトを文書ファイルからすべて除去します。サニタイズ処理後、文書には悪意のあるHTMLリンクは含まれなくなります。

Deep CDR™テクノロジーは潜在的な脅威オブジェクトを除去します
図3:Deep CDR™テクノロジーが潜在的な脅威オブジェクトを除去


MetaDefender Cloud検出された脅威はスキャンされ、その結果はサニタイズアクションをサポートします:

MetaDefender Cloud検出された脅威
図 4:MetaDefender Cloudが検知した脅威


サニタイズ後、結果はOLEObjectが削除され、ファイルを開いても安全であることを示している:

MetaDefender Cloudサニタイズされたファイルのステータス
図 5:MetaDefender Cloudにおけるサニタイズされたファイルの状態

Deep CDR™ テクノロジーについて

Deep CDR™テクノロジーは、マルチレベルアーカイブ処理、ファイル再生成の精度、100種類以上のファイル形式対応といった優れた機能で市場をリードしています。当社の技術は、どのようなデータがどのように消去されるかを詳細に可視化するため、情報に基づいた選択とユースケースに合わせた設定定義が可能です。その結果は? 脅威を100%除去した安全なファイルがミリ秒単位で生成され、ワークフローが中断されることはありません。

Deep CDR™テクノロジーの詳細と、OPSWAT 組織をどのように保護OPSWAT について、当社の重要インフラサイバーセキュリティ専門家にご相談ください。

参考文献

[1] 「Microsoft MSHTML リモートコード実行の脆弱性」。2021.マイクロソフトセキュリティレスポンスセンターhttps://msrc.microsoft.com/upd...

[2] "マイクロソフト、悪用が活発な MSHTML ゼロデイ RCE (CVE-2021-40444) にパッチを適用".2021年9月14日。Help Net Security.https://www.helpnetsecurity.co...

タグ

最新の投稿

OPSWAT ニュースレター

OPSWAT 最新情報を、イベント情報とともにお届けします。 業界を牽引するニュースをお届けします。
サインアップする

ソーシャルメディアでフォローする

LinkedIn、Facebook、Twitter、YouTubeでOPSWATのフォローを !

OPSWATで最新情報をお届けします!

今すぐご登録ください、 ストーリー、イベント情報などをお届けします。
購読する