Microsoft Office の脆弱性 CVE-2021-40444:パッチ回避とマルウェア投下

Crooks bypass a Microsoft Office patch for CVE-2021-40444 to spread Formbook malware

2021/12/23 SecurityAffairs — Microsoft Office に存在する脆弱性 CVE-2021-40444 (CVSS 8.8) に関して、サイバー犯罪者たちはパッチを回避する方法を見つけ出した。そして、この脆弱性を悪用し、マルウェア Formbook を配布している。CVE-2021-40444 は、MSHTML ファイル・フォーマットに影響を与える、リモートコード実行の脆弱性である。

このセキュリティ上の欠陥は、脆弱なシステム上でリモートからのコード実行を達成するために悪用される可能性がある。ただし、このバグを利用しようとする攻撃者は、標的とする被害者を騙して、悪意の文書を開かせる必要がある。

この9月に Microsoft は、ランサムウェアを含む複数の脅威が、Windows MSHTMLのリモートコード実行の欠陥を利用して、ユーザー組織を攻撃していると警告していた。

Microsoft によると、この脆弱性の緩和策を同社が共有する前の 8月18日から、脅威アクターたちは武器化した Office 文書を使って、この問題を狙っていたという。2021年8月に観測されたキャンペーンでは、契約書や法的合意書を装ったメールが使用され、ファイル共有サイトでホストされている悪意の文書へのリンクが貼られていた。

そして、2021年9月の Microsoft Patch Tuesday セキュリティ・アップデートにより、この欠陥は対処されていた。この脆弱性に対する PoC エクスプロイトが公開されたことで、この問題を悪用しようとする攻撃が急増した。

研究者が観測した最初の攻撃では、悪意のコードが、悪意の実行ファイルを含むMicrosoft Cabinet (CAB) アーカイブをダウンロードしていた。Microsoft が開発したパッチは、CAB アーカイブをダウンロードするコードの実行を防ぐが、いまの脅威アクターたちは、特別に細工した RAR アーカイブに Word 文書を組み込むことで、パッチを回避している。

Sophos が発表した分析結果は、「CVE-2021-40444 エクスプロイトの初期バージョンでは、悪意の Office 文書が、Microsoft Cabinet (CAB) ファイルにパッケージされたマルウェアのペイロードを取得していた。Microsoft のパッチにより、この抜け道が塞がれたとき、攻撃者は特別に作成した RAR アーカイブに悪意の文書を封入することで、まったく別の攻撃の連鎖を利用できることに気づいた。実際には CAB スタイルの攻撃方法を使用していないため、我々はこれを「CAB-less 40444 exploit」と呼んでいる」と、紹介している。

Sophos の研究者たちは、「10月24日/25日の約36時間に渡って行われたマルスパム・キャンペーンで RAR アーカイブを拡散しているのを確認した。10月25日以降、脅威アクターたちはキャンペーンを停止しているため、攻撃者が dry run 実験を行っていたと示唆される。このスパム・メッセージには、Profile.rar という名前のアーカイブ・ファイルが使用されており、このアーカイブの特徴は、不正な形式であることだ。攻撃者は、この RAR ファイルに、Windows Scripting Host 表記のスクリプトを付加し、その直後に悪意の Word 文書を配置した。アーカイブを開いて文書にアクセスすると、スクリプトが実行され、被害者のシステムに Formbook マルウェアが投下される」と述べている。

専門家たちによると、理論的には、この攻撃は成功しないはずだという。しかし、この攻撃が上手くいったのは、この攻撃が機能する方式に対する仮定により、あまりにも狭い範囲に焦点を絞ったパッチが適用されたことによる。また、WinRAR では、正しい magic bytes を含むファイルは、ファイル内の magic bytes の位置に関係なく、アーカイブとして扱われるため、これも上手くいった。Sophos は、「この添付ファイルは、攻撃者による CVE-2021-40444 バグ悪用のエスカレーションを示しており、意欲的で十分なスキルを持った攻撃者の行動を、パッチにより必ずしも軽減できないことを示している」と結論づけている。

彼らは、「この調査の過程で気づいたことの1つは、これらの修正された rar アーカイブファイルを扱う WinRAR の機能は、最近のエディションに限られているということだ。最初にテストベッド・マシンでこれをテストしたとき、そこにインストールされていた WinRAR の Ver 3.61 ではアーカイブを開くことができず、適切な形式ではないことを示すエラーが返された」と付け加えている。

CAB から WinRAR へと、攻撃ベクターが移動しているようです。10月21日に「Windows 用のファイル・アーカイブ WinRAR の RCE 脆弱性」を、11月18日に「Memento ランサムウェアによる WinRAR 悪用の奇策とは?」をポストしています。これからも、WinRAR 関連の記事が増えそうな気がします。よろしければ、上記のリンクも、ご参照ください。

%d bloggers like this: