Microsoft shares temp fix for ongoing Office 365 zero attacks
2021/09/07 BleepingComputer — 今日、Microsoft が公開したのは、Windows 10 上の Office 365 および Office 2019 への標的型攻撃で悪用されている、Windows のリモートコード実行の脆弱性に関する緩和策である。この欠陥の原因は、Microsoft Office ドキュメントでも用いられる。ブラウザのレンダリング・エンジン MSHTML にある。
Office 365 で進行している攻撃とは
この脆弱性 CVE-2021-40444 は、Windows Server 2008/2019、および Windows 8.1/10に影響し、深刻度を示す CVSS 値は 8.8 となっている。今日のアドバイザリで Microsoft は、特別に細工された Office 文書を送信し、この脆弱性を悪用しようとする、標的型攻撃の存在を認識していると述べている。
しかし、Microsoft Office がデフォルトの設定で実行され、Protected View または Application Guard for Office 365で、Web 経由のドキュメントが開かれる場合には、この攻撃は阻止される。この Protected View は、大半の編集機能を無効にした読み取り専用のモードであり、また、Application Guard は信頼できないドキュメントを隔離し、企業リソース/イントラネット/システム上のファイルへのアクセスを拒否する。
Microsoft の Defender Antivirus および Defender for Endpoint (Build 1.349.22.0以上) が有効になっているシステムでは、CVE-2021-40444 を悪用しようとする行為から保護される。Microsoft の Enterprise Security Platform では、この攻撃に関するアラートを “Suspicious Cpl File Execution ” として表示する。
この脆弱性を発見/報告したのは、セキュリティ研究者である、EXPMON の Haifei Li、Mandiant の Dhanesh Kizhakkinan、Bryce Abdo、Genwei Jiang、Microsoft Security Intelligence の Rick Cole である。EXPMON (exploit monitor) は、本日のツイートで、Microsoft Office ユーザーを狙った、きわめて狡猾なゼロデイ攻撃を検出した後に、この脆弱性を発見したと述べている。EXPMON の研究者たちは、Windows 10上の 最新の Office 2019 / Office 365 で、この攻撃を再現している。
EXPMON の Haifei Li は BleepingComputer に対して、攻撃者が使用したのは .DOCX ファイルだと述べている。このドキュメントを開くと、Internet Explorer のエンジンが読み込まれ、脅威アクターのリモート Web ページがレンダリングされる。その後に、Web ページ内の特定の ActiveX コントロールにより、マルウェアがダウンロードされる。一連の攻撃は、Microsoft のアドバイザリで言及されている、「Cplファイル実行」と呼ばれるトリックを用いて実行される。研究者たちは、この攻撃方法は 100% の確度を持ち、きわめて危険なものであるとし、日曜日の早朝に Microsoft に報告した。
CVE-2021-40444 ゼロデイ攻撃の回避策
現時点 (日本時間9月8日11:30AM) においては、CVE-2021-40444に対する更新プログラムが提供されていないため、Microsoft は、Internet Explorer 内の全ての ActiveX コントロールのインストールを無効にするという、回避策を提供している。ActiveX コントロールを無効にするには、以下の手順を実行する。
1:メモ帳を開き、ココからレジストリ設定をダウンロードし、テキストファイルに貼り付ける。そのファイルを、disable-activex.reg という名前で保存する。レジストリ・ファイルを正しく作成するために、ファイル拡張子の表示が有効になっていることを確認する。
2:新しく作成された disable-activex.reg をダブル・クリックする。UAC プロンプトが表示されたら、「はい」ボタンをクリックし、レジストリ・エントリをインポートする。
3:コンピュータを再起動すると、新しい設定が適用される。
この状態でコンピュータを再起動すると、Internet Explorer 内での ActiveX コントロールが無効になる。Microsoft が、この脆弱性に対する正式なセキュリティ・アップデートを提供する際には、作成されたレジストリ・キーを手動で削除することにより、この一時的なレジストリ修正を削除できる。または、この reg ファイルを利用して、エントリを自動的に削除することもできる。
今朝、9月の Patch Tuesday は、今日だっけ? 来週だっけ? ・・・と、Microsoft の Security Update Guide を開いてみたら、CVE-2021-40444 が並んでいたので、この記事を探し出し、慌てて訳しました。実際に、レジストリをいじる場合には、参照元の BleepingComputer を確認してください。なお、Microsoft には、オリジナルの情報がありますので、こちらの方が確実だと思います。
IoT OT Security News 