Microsoft Office文書内のVBA(Visual Basic for Applications)マクロは、ターゲットシステムに侵入し、マルウェアやランサムウェアを展開するために、以前から脅威作成者によって悪用されてきました。マクロの自動実行が許可されている場合、MS文書が開かれると、マクロを利用して悪意のあるコードを実行することができます。Microsoft Officeがマクロの実行を無効にし、ユーザーにマクロの実行によるセキュリティリスクを警告する通知バーを表示した場合でも、悪意のある業者はユーザーを騙して「マクロを有効にする」ボタンをクリックさせるために、さまざまな説得力のあるシナリオを用意していました。マクロベースのマルウェアに対抗するため、マイクロソフトは2022年7月27日から、5つのOfficeアプリケーションでインターネットから入手したOfficeマクロをデフォルトでブロックする。その結果、Access、Excel、PowerPoint、Visio、Wordのユーザーは、インターネットからダウンロードされた信頼できないファイル内のマクロスクリプトを有効にすることができなくなる。
この規制は、サイバーセキュリティ業界にとって画期的なものだと評判になった。しかし、MSユーザーにとって本当に安全なのだろうか?答えはノーだ。サイバー犯罪者は、あなたのシステムをハッキングして侵入する新しく革新的な方法を見つけることに長けている。
VSTO攻撃ベクトル
VBAに代わる新たな攻撃手段としてサイバー犯罪者に利用されているのが、Officeドキュメント内に埋め込まれたアドインをエクスポートできるVisual Studio Tools for Office(VSTO)です。VSTO Officeファイルにより、攻撃者はユーザーをフィッシングし、アドインのインストールを介して悪意のあるコードをリモートで実行することが可能になります。
VSTO Office文書は、.NETで書かれたVisual Studio Office Fileアプリケーションにリンクされている。これは、VBAと同様に、悪意のある目的に使用できる任意のコードを含むことができます。VSTO Officeドキュメントは、ユーザーがファイルを開くと、インターネットからVSTOファイル(.NETアプリケーション)をダウンロードするための参照とメタデータを囲むことができます。
以下は、VSTO Wordファイルがどのように被害者のマシン上で有害なアプリケーションをダウンロードし、実行するかを示す私たちの記録されたデモです。
Deep CDR™(Content Disarm and Restructure)テクノロジーは、この種のサイバー攻撃を無力化することができます
Deep CDR™テクノロジーは、すべてのファイルが潜在的な脅威となり得るとの考え方に基づき、ファイルに埋め込まれた不審な実行可能コンポーネントをすべて検出して無力化し、組織に流入するすべてのファイルが有害でないことを保証します。これは、高度な回避型マルウェアやゼロデイ攻撃を防ぐための最も効果的なアプローチです。
以下のデモ動画をご覧いただき、悪意のあるVSTO Wordファイルがどのように無効化されたかをご確認ください。 OPSWAT MetaDefender がDeep CDR™テクノロジーを使用して、悪意のあるVSTO Wordファイルを無効化した様子をご覧ください。
Deep CDR™ テクノロジーの詳細はこちら。悪意のある文書から組織を包括的に保護する方法について、今すぐOPSWAT にご相談ください。
