Microsoft Office文書内のVBA(Visual Basic for Applications)マクロは、ターゲットシステムに侵入し、マルウェアやランサムウェアを展開するために、以前から脅威作成者によって悪用されてきました。マクロの自動実行が許可されている場合、MS文書が開かれると、マクロを利用して悪意のあるコードを実行することができます。Microsoft Officeがマクロの実行を無効にし、ユーザーにマクロの実行によるセキュリティリスクを警告する通知バーを表示した場合でも、悪意のある業者はユーザーを騙して「マクロを有効にする」ボタンをクリックさせるために、さまざまな説得力のあるシナリオを用意していました。マクロベースのマルウェアに対抗するため、マイクロソフトは2022年7月27日から、5つのOfficeアプリケーションでインターネットから入手したOfficeマクロをデフォルトでブロックする。その結果、Access、Excel、PowerPoint、Visio、Wordのユーザーは、インターネットからダウンロードされた信頼できないファイル内のマクロスクリプトを有効にすることができなくなる。
この規制は、サイバーセキュリティ業界にとって画期的なものだと評判になった。しかし、MSユーザーにとって本当に安全なのだろうか?答えはノーだ。サイバー犯罪者は、あなたのシステムをハッキングして侵入する新しく革新的な方法を見つけることに長けている。
VSTO攻撃ベクトル
VBAに代わる新たな攻撃手段としてサイバー犯罪者に利用されているのが、Officeドキュメント内に埋め込まれたアドインをエクスポートできるVisual Studio Tools for Office(VSTO)です。VSTO Officeファイルにより、攻撃者はユーザーをフィッシングし、アドインのインストールを介して悪意のあるコードをリモートで実行することが可能になります。
VSTO Office文書は、.NETで書かれたVisual Studio Office Fileアプリケーションにリンクされている。これは、VBAと同様に、悪意のある目的に使用できる任意のコードを含むことができます。VSTO Officeドキュメントは、ユーザーがファイルを開くと、インターネットからVSTOファイル(.NETアプリケーション)をダウンロードするための参照とメタデータを囲むことができます。
以下は、VSTO Wordファイルがどのように被害者のマシン上で有害なアプリケーションをダウンロードし、実行するかを示す私たちの記録されたデモです。
Deep CDR (Content Disarm and Restructure)技術は、この種のサイバー攻撃を阻止することができる。
すべてのファイルが潜在的な脅威であるという考え方に基づき、Deep CDR は、ファイルに埋め込まれた疑わしい実行可能コンポーネントをすべて検出して無効化し、組織に流入するすべてのファイルが有害でないことを保証します。これは、高度な回避型マルウェアやゼロデイ攻撃を防ぐための最も効果的なアプローチです。
以下のデモで、悪意のあるVSTO Wordファイルがどのように無効化されたかをご覧ください。 OPSWAT MetaDefenderDeep CDR 。
Deep CDR テクノロジーの詳細をご覧ください。武器化された文書から組織を包括的に保護する方法について、 OPSWAT のスペシャリストにご相談ください。
