Microsoft Office のゼロデイ脆弱性 Follina:マクロとは別経路で PowerShell コードを実行

Watch Out! Researchers Spot New Microsoft Office Zero-Day Exploit in the Wild

2022/05/30 TheHackerNews — サイバー・セキュリティ研究者たちは、Microsoft Office のゼロデイ脆弱性の悪用に成功した脅威アクターに、Windows システム上での任意のコード実行を許す可能性があるという注意を呼びかけている。この脆弱性は、nao_sec として知られる独立系のサイバー・セキュリティ研究チームが、ベラルーシの IP アドレスから VirusTotal にアップロードされた Word 文書 [05-2022-0438.doc] を発見したことで明らかになった。

先週に研究者たちは、「この文書ファイルは、Word の外部リンクを使って HTML を読み込み、ms-msdt スキームを用いて PowerShell コードを実行する」と、一連のツイートで指摘している。

この脆弱性を Follina と名付けたセキュリティ研究者の Kevin Beaumont は、「Word のリモートテンプレート機能を悪用する maldoc が、サーバーから HTML ファイルを取得し、[ ms-msdt:// ] URI スキームを介して悪意のペイロードを実行する」と述べている。

MSDT とは、Microsoft Support Diagnostics Tool の略であり、トラブル・シューティングや問題解決のための診断データを収集し、それらを分析するサポート専門家を支援するユーティリティである。

Beaumont は、「マクロが無効化されても、Microsoft Word が msdt 経由でコードを実行する点に問題がある。Protected View は起動するが、文書を RTF 形式に変更すると、保護されたビューどころではなく、(エクスプローラのプレビュータブを介して) 文書を開かずに実行される」と付け加えている。

Microsoft の Office/Office 2016/Office 2021 などの、複数のバージョンが影響を受けるとされているが、他のバージョンにも脆弱性があると予想される。さらに、NCC Group の Richard Warren は、プレビュー・ペインを有効にした最新のWindows 11 マシンで実行される、Office Professional Pro with April 2022 で、このエクスプロイトの実証に成功している。

Beaumont は、「Microsoft は、すべての製品にパッチを適用する必要があり、セキュリティ・ベンダーは、強力な検出とブロックを行う必要がある」と述べている。The Hacker News として Microsoft にコメントを求めているので、回答があり次第、記事を更新する。

またも、Microsoft Office に厄介な脆弱性が見つかったようです。この記事には、まだ記載されていませんが、その後に CVE-2022-30190 が採番されたようです。Microsoft Support Diagnostics Tool の略である、MSDT に問題があるようです。詳細については、続報をお待ちください。

%d bloggers like this: