セキュリティ

Microsoftが新たなゼロデイ脆弱性について警告、Officeファイル開くとコードが実行される可能性


Microsoft Windowsにリモートコード実行の脆弱性が存在し、Microsoft Officeドキュメントを使って脆弱性が悪用されると、システムの制御権がのっとられる危険性があると判明しました。この脆弱性を利用しようとする攻撃は既に検知されていますが、パッチはなく、Microsoftは回避策を示しています。

CVE-2021-40444 - セキュリティ更新プログラム ガイド - Microsoft - Microsoft MSHTML Remote Code Execution Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444

Microsoft shares temp fix for ongoing Office 365 zero-day attacks
https://www.bleepingcomputer.com/news/security/microsoft-shares-temp-fix-for-ongoing-office-365-zero-day-attacks/


Miscreants fling booby-trapped Office files at victims, no patch yet, says Microsoft • The Register
https://www.theregister.com/2021/09/07/microsoft_office_zero_day/

2021年9月7日付けで発表された脆弱性「CVE-2021-40444」は、、Windows Server 2008~2019およびWindows 8.1~10に影響し、深刻度レベルは最大10のうち8.8となっています。

MSHTMLリモートコード実行 脆弱性 (CVE-2021-40444)を定例外で公開しました。限定的な攻撃を確認しています。緩和策のガイダンスをご参照頂きシステムの保護を検討してください。https://t.co/6A0xdSDinh

— マイクロソフト セキュリティチーム (@JSECTEAM)


Microsoftによると脆弱性はWindowsに含まれるレンダリングエンジン「MSHTML(Trident)」のリモートコード実行に関するもの。同社はすでにこの脆弱性を利用しようとする標的型攻撃を認識しているとのことで、「攻撃者はブラウザのレンダリングエンジンにホストされるMicrosoft Officeドキュメントが利用するActiveXコントロールを細工し、ユーザーに悪意あるドキュメントを開くよう求めます。システムでのユーザー権限が少なくなるようアカウントが構成されているユーザーは、管理権限で操作するユーザーよりも影響が少ない可能性があります」と説明しました。

Microsoftは脆弱性の修正に取り組んでいますが、記事作成時点でパッチは公開されておらず、Microsoftは対策として「Microsoft Officeはデフォルト設定の場合、保護ビューApplication Guard for Officeを通してインターネットのファイルを開き、これらは今回の攻撃を回避してくれます」「Microsoft Defender AntivirusMicrosoft Defender for Endpointもこの脆弱性を検知し、脆弱性から保護してくれます。お客様はアンチマルウェア製品を最新の状態に更新しておくべきです。自動アップデートを行っているお客様が追加アクションを取る必要性はありません。アップデートを管理している法人のお客様は1.349.22.0より新しい検出ビルドを選択し、環境全体に適用する必要があります。Microsoft Defender for Endpointアラートは、『疑わしいCplファイルの実行』を表示するはずです」と記しています。


加えてMicrosoftは、「Internet Explorerで全てのActiveXコントロールのインストールを無効にする」という回避策もあると述べました。方法は以下の通り。

1:Internet Explorerの全てのゾーンにおいてActiveXコントロールを無効にするには、まず以下をテキストに貼り付け、「.reg」拡張子で保存します。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
"1001"=dword:00000003
"1004"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
"1001"=dword:00000003
"1004"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
"1001"=dword:00000003
"1004"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
"1001"=dword:00000003
"1004"=dword:00000003


2:ポリシーハイブに適用させるため、上記の「.reg」をダブルクリックする。

3:新しい構成が適用するため、システムをリブートする。

なお、毎月定例のWindows Updateが日本時間の2021年9月15日(水)に予定されているため、このタイミングでパッチが配布されるのではないかとみられています。

この記事のタイトルとURLをコピーする

・関連記事
Microsoft社長が「過去10年で最も深刻なサイバー攻撃の1つ」と語るSolarWindsの「Orion Platform」に対する攻撃とは? - GIGAZINE

Microsoftが「中国政府系ハッカーによるExchange Serverの脆弱性を利用した新たな攻撃」について報告 - GIGAZINE

MicrosoftのExchange Server脆弱性が発覚してからの攻撃&対処のタイムラインはこんな感じ - GIGAZINE

Microsoftがロシア政府が支援するハッカー組織から再びサイバー攻撃を受けたと発表 - GIGAZINE

Googleが1兆円・Microsoftは2兆円規模のセキュリティ対策を政府と約束、新たなフレームワークも構築へ - GIGAZINE

・関連コンテンツ

in アート,   セキュリティ, Posted by darkhorse_log

You can read the machine translated English article here.