Microsoft Office の脆弱性 Follina に緩和策:ベンダーと研究者の見解に相違が

Microsoft Releases Workarounds for Office Vulnerability Under Active Exploitation

2022/05/30 TheHackerNews — 日本マイクロソフトは、同社の Office で発見されたゼロデイ脆弱性の悪用に成功した攻撃者に、システム上でのコード実行を許してしまう問題への緩和策を発表した。現時点で、この脆弱性 CVE-2022-30190 の CVSS 値は 7.8 と評価されている。Microsoft の Office 2013/2016/2019/2021、および Professional Plus エディションが影響を受けるとされている。

同社の広報担当者は、「顧客を保護するために、CVE-2022-30190 のためのガイダンスを公開した」と電子メールで声明を発表している。先週末に明らかになった脆弱性 Follina は、Word 文書の欠陥を武器として悪用し、 [ms-msdt:] URI スキームを介して任意の PowerShell コードを実行する。このサンプルは、ベラルーシから VirusTotal にアップロードされている。

しかし、この脆弱性の悪用に関する最初の兆候は、マルウェアデータ・ベースに2つ目のサンプルがアップロードされた、2022年4月12日にまでさかのぼる。このアーティファクトは、Sputnik Radio のインタビュー招待状を装った、悪意の Word 文書 приглашение на интервью.doc であり、ロシアのユーザーをターゲットにしていたと考えられている。

Microsoft は CVE-2022-30190 のアドバイザリにおいて、「Word などの呼び出し側アプリケーションから、URL プロトコルを介して MSDT が呼び出された場合に、リモートでコード実行されるという脆弱性が存在する。この脆弱性の悪用に成功した攻撃者は、呼び出したアプリケーションの権限で任意のコードを実行できる。攻撃者は、ユーザーの権利で許可されたコンテキストで、プログラムのインストールや、データの表示/変更/削除および、新たなアカウント作成が可能となる」と述べている。

Microsoft は、4月12日に Shadow Chaser Group のメンバーである crazyman が、この脆弱性を報告したと確信しており、ロシアのユーザーを標的とした悪用を発見したときには、すでに問題を認識していたとしている。

実際のところ、研究者たちが Twitter で公開したスクリーン・ショットによると、Microsoft は 2022年4月21日に、問題は修正されたと報告した一方で、診断ツールを起動する際にサポート技術者から提供されるパスキーを必要とすることから、この欠陥はセキュリティ上の問題ではないと退けている。

同社は、Microsoft Defender for Endpoint の検出ルールを公開したほか、Windowsレジストリの変更により MSDT URL プロトコルを無効にする回避策を、ガイダンスとして提示している。

Microsoft は、「呼び出し元のアプリケーションが Microsoft Office アプリケーションの場合にはディフォルト設定により、インターネットからのドキュメントは保護されたビューまたは、Application Guard for Officeで開かれるため、どちらも今回の攻撃を防ぐことができる」と述べている。

しかし、ms-msdt: のような Microsoft Office のプロトコル・スキームが悪用される可能性が問題視されたのは、今回が初めてではない。2022年1月の初めには、ドイツのサイバー・セキュリティ企業 SySS が、”ms-excel:ofv|u|https://192.168.1.10/poc[.]xls” などの、特別に細工した URL を介してファイルがダイレクトに開かれる可能性を公表している。

CVE-2022-30190 が採番され、緩和策が提供されているようですが、Microsoft と研究者たちの間で、見解に相違が生じているようです。同じく Microsoft の問題である、PringhtNightmare に引っ掛けて、ProtocolNightmare と呼ぶ声もあるようです。また、厄介な問題が Windows に起こってしまったようです。なお、第一報は、先ほどの「Microsoft Office のゼロデイ脆弱性 Follina:マクロとは別経路で PowerShell コードを実行」となります。

%d bloggers like this: