AIを駆使したサイバー攻撃:インテリジェントな脅威を検知、予防、防御する方法

今すぐ読む
サイト翻訳には人工知能を利用しており、正確性を追求しておりますが、必ずしも100%正確とは限りません。ご了承ください。
ホーム/ ブログ / マイクロソフト、ゼロデイCVE-2021-40444を報告、...
ファイル・セキュリティ

マイクロソフト、ゼロデイCVE-2021-40444を報告。

By ヴィン・ラム、シニア・テクニカル・プログラム・マネージャー
この記事を共有する

マイクロソフトは2021年9月7日、Windows 10にリモートコード実行(RCE)の脆弱性が発生したことを確認した。CVE-2021-40444[1]として分類されるこの脆弱性は、サイバー犯罪者が侵害されたシステムをリモートで制御し、ゼロデイ攻撃を野放しで作成することを可能にします。

この欠陥は、インターネット・エクスプローラーのブラウザ・レンダリング・エンジンであるMSHTMLにある。このエンジンは、Microsoft Office ドキュメントでも使用されています。CVE-2021-40444は現在、Cobalt Strikeペイロード(一般的に悪用される脅威エミュレーションフレームワーク)の配信に使用されていることが知られています。

EXPMONの研究者は、"OfficeユーザーはOfficeファイルについて極めて慎重に "とツイートし、このゼロデイを初めて特定した。彼らは9月5日(日)にマイクロソフト社に報告した。マイクロソフトもその後すぐにセキュリティ勧告を発表し、同社が調査する間の回避策を提案した。9月14日、マイクロソフトはこの脆弱性を修正した [2]。

攻撃者はどのようにCVE-2021-40444を悪用するか

サイバー犯罪者は、Microsoft Office文書(.docx)の中に悪意のあるActiveXコントロールを仕込む可能性があります。このドキュメントは、MSTHMLブラウザ・レンダリング・エンジンと、構築されたウェブページに誘導するOLEObjectのホストとして機能する。

Microsoft WordファイルのOLEObject
図1:Microsoft WordファイルのOLEObject


攻撃者は、標的を欺いてこの文書を開かせる必要がある。開くと、MSTHMLエンジンはActiveXコントロールを使用し、難読化されたスクリプトを含むHTMLファイルを実行し、マルウェアのペイロードやリモートアクセス制御をダウンロードさせる。 

MSHTMLは、難読化されたスクリプトを含むHTMLファイルを実行するようトリガーされる。
図2:MSHTMLが難読化スクリプトを含むHTMLファイルを実行するようトリガーされる


マイクロソフト社は、管理者権限を持つユーザーは、そうでないユーザーやユーザー権限が少ないユーザーよりも、このような攻撃を受けやすいと指摘している。

緩和策と回避策

マイクロソフト社は、Internet ExplorerにインストールされているすべてのActiveXコントロールを無効にすることで、現在の攻撃を軽減することができるとアドバイスしている。これは、ローカルグループポリシーエディタを使用してレジストリを更新することにより、グループポリシーを構成することにより行うことができる。無効にした後、新しいActiveXコントロールはインストールされず、以前のActiveXコントロールは実行され続ける。

Deep CDR ゼロデイ攻撃からいかに守るか

コンテンツ解除と再構築(CDR)は、この脆弱性に関連するリスクを軽減するのに役立つ。 Deep CDRは、すべてのファイルが悪意のあるものであると仮定した上で、ファイルコンポーネントをサニタイズおよび再構築し、安全なコンテンツで完全に使用できるようにします。この技術は、すべてのファイルベースの脅威、複雑でサンドボックスを認識する脅威、および完全に検出できないマルウェアや難読化などのマルウェア回避技術を備えた脅威を効果的に「解除」することができます。

この場合、Deep CDR テクノロジーは、文書ファイルからOLEObjectやActiveXのような潜在的な脅威オブジェクトをすべて削除する。サニタイズ後、文書には悪意のあるHTMLリンクは含まれなくなります。

Deep CDR 潜在的な脅威オブジェクトを除去する
図3:Deep CDR 潜在的な脅威オブジェクトを除去する


MetaDefender Cloud検出された脅威はスキャンされ、その結果はサニタイズアクションをサポートします:

MetaDefender Cloud検出された脅威
図 4:MetaDefender Cloudが検知した脅威


サニタイズ後、結果はOLEObjectが削除され、ファイルを開いても安全であることを示している:

MetaDefender Cloudサニタイズされたファイルのステータス
図 5:MetaDefender Cloudにおけるサニタイズされたファイルの状態

Deep CDR

Deep CDR テクノロジーは、マルチレベルのアーカイブ処理、ファイル再生の精度、100種類以上のファイルタイプのサポートなど、優れた機能で市場をリードしています。当社のテクノロジーは、何がサニタイズされ、どのようにデータがサニタイズされるかを詳細に表示するため、お客様は十分な情報に基づいた選択を行い、ユースケースに応じた構成を定義することができます。その結果数ミリ秒以内に100%の脅威が排除された安全なファイルにより、ワークフローが中断されることはありません。

Deep CDR 詳細と、OPSWAT お客様の組織をどのように保護できるかについては、当社の重要インフラのサイバーセキュリティ専門家にご相談ください

参考文献

[1] 「Microsoft MSHTML リモートコード実行の脆弱性」。2021.マイクロソフトセキュリティレスポンスセンターhttps://msrc.microsoft.com/upd...

[2] "マイクロソフト、悪用が活発な MSHTML ゼロデイ RCE (CVE-2021-40444) にパッチを適用".2021年9月14日。Help Net Security.https://www.helpnetsecurity.co...

タグ

最新の投稿

OPSWAT ニュースレター

OPSWAT 最新情報を、イベント情報とともにお届けします。 業界を牽引するニュースをお届けします。
サインアップする

ソーシャルメディアでフォローする

LinkedIn、Facebook、Twitter、YouTubeでOPSWAT !

OPSWATで最新情報をお届けします!

今すぐご登録ください、 ストーリー、イベント情報などをお届けします。
購読する