検索
ニュース

マクロ無効化でも防げない MS製品のゼロデイ脆弱性を解説

Microsoft Officeにおける全てのバージョンのファイルに影響を与え、マクロ無効化でも防げない脆弱性「Follina」が発見された。有識者やMicrosoftの発表やガイダンスを基に、Follinaのゼロデイ脆弱性について解説する。

PC用表示 関連情報
Share
Tweet
LINE
Hatena
Cybersecurity Dive

 2022年5月27日、Microsoft Officeにおける全てのバージョンのファイルに影響を与える脆弱(ぜいじゃく)性が発見され、「Follina」と名付けられた。Follinaを悪用した攻撃はマクロ無効化でも防げないという。

 セキュリティ企業の研究者やMicrosoftの発表やガイダンスを基に、Follinaのゼロデイ脆弱性について解説する。

対応方法は至ってシンプル セキュリティの基本を再確認

 米サイバーセキュリティ・インフラストラクチャセキュリティ庁(The Cybersecurity and Infrastructure Security Agency)は2022年5月31日(現地時間)、「Windows」のMicrosoftサポート診断ツールに影響を与える脆弱(ぜいじゃく)性の回避策について、管理者およびユーザーにガイダンスを確認するように促した(注1)。

 セキュリティ関連企業Huntressのシニアセキュリティリサーチャーであるジョン・ハモンド氏によると、研究者のnao_secは2022年5月27日、VirusTotalで「CVE-2021-40444」に関わる攻撃を調べている最中に、OfficeファイルやRTFファイルを使用して任意のコードを実行できる脆弱性を発見した(注2)。脆弱性はセキュリティ研究者のケビン・ボーモント氏によって「Follina」と命名された。

 2022年5月27日の「Twitter」への投稿によると、新しい脆弱性はベラルーシから提出された文書に関連しており、「Word」の外部リンクを使ってHTMLを読み込み、「ms-msdt」を使ってPowerShellコードを実行するものだった。ボーモント氏によると、この脆弱性は、RTFファイルを使用する場合、Officeにおける全てのバージョンのファイルで悪用可能だという(注3)。

 新たなゼロデイ脆弱性とはいえ、防御はセキュリティの基本的な対策に帰結する。企業は、フィッシングやソーシャルエンジニアリングの攻撃の見抜き方をユーザーに教育することで攻撃を防げるという。

 ハモンド氏はエンドポイントにパッチが適用されるまでは、悪意のある電子メールを特定して削除するようユーザーを教育することが最善の防御策になる」と述べる。当面企業は「msdt.exe」や「sdiagnhost.exe」など、Office製品で作成される不正な子プロセスに注意する必要があるという(注4、5)。

 Microsoftは、トラブルシューターがリンクとして起動するのを防ぐ、「MSDT URLプロトコル」を無効にすることを回避策として提案した。Microsoftはまた、「Microsoft Defender Antivirus」を使用中の顧客に対して、クラウド配信による保護と自動サンプル送信をオンにするよう伝えている。これらは、ML(機械学習)を含めたAI(人工知能)を利用して、新しい未知の脅威を特定し、停止させる機能だ。

 Microsoftはこの脆弱性に関するガイダンスを発表し、「CVE-2022-30190」の識別番号でセキュリティアップデートを公開した。同社はブログで「この脆弱性の悪用に成功した攻撃者は、プログラムのインストール、データの表示、変更、削除、新しいアカウントの作成が可能になる」と述べている。研究者は、今のところ既知のパッチは存在しないと話す。またCISAによると、Microsoftはこの脆弱性が活発に利用されていることを報告したという(2022年5月31日時点)。

 なお、同脆弱はMicrosoftの6月月例セキュリティ更新プログラムで修正されている。

© Industry Dive. All rights reserved.

ページトップに戻る