Microsoft Office のゼロデイ脆弱性 Follina:中国の国家支援ハッカーが積極的に悪用

Chinese Hackers Begin Exploiting Latest Microsoft Office Zero-Day Vulnerability

2022/05/31 TheHackerNews — 中国国家に支援される高度持続的脅威 (APT) 脅威アクターが、Microsoft Office の新しいゼロデイ脆弱性を武器にして、侵害したシステムでコード実行を可能にしていることが確認された。エンタープライズ・セキュリティ企業である Proofpoint は、「この TA413 CN APT は、脆弱性 Follina を悪用することで、悪意の URL から ZIP アーカイブを配信し、そこに含まれる Word ドキュメントを攻撃に使用する。いまは、それが野放しの状態である。このキャンペーンは、中央チベット自治政府の Women Empowerments Desk になりすまし、ドメイン tibet-gov.web[.]app を使用している」とツイートで述べている。

TA413 は、チベットの難民を対象としたキャンペーンで、Exile RAT や Sepulcher などのインプラントや、FriarFox と呼ばれる不正な Firefox エクステンションを配信する APT として知られている。

この Follina と呼ばれる脆弱性 (CVE-2022-30190 CVSS : 7.8) は、重大なセキュリティ欠陥とされる ms-msdt: プロトコル URI スキームを介して、リモートから任意のコード実行を許してしまうとされる。具体的に言うと、Follina を悪用する脅威アクターは、ドキュメントを RTF ファイルに変更するだけで、ファイル・プロテクション・ビューのセーフガードを回避できるという。それにより、注入されたコードは、Windows File Explorer の Preview Pane を介して、ドキュメントを開くことなく実行される。

先週に、この欠陥は広く注目を集めたが、1カ月以上前の 2022年4月12日に Microsoft に開示された時点で、ロシアのユーザーを標的とした攻撃で、同社の診断ツールの欠陥が活発に悪用されていることを示す証拠が見つかっていた。しかし Microsoft は、MSDT ユーティリティがペイロードを実行する前に、サポート技術者から提供されるパスキーを必要とするという理由を挙げ、セキュリティ上の問題とはみなさず、脆弱性届出報告をクローズした。

この脆弱性は、現時点でサポートが提供されている、すべての Windows バージョンに存在し、Microsoft Office2013〜Office 21 および、Office Professional Plus エディションを介して悪用される可能性があるという。

Malwarebytes の Jerome Segura は、「このエレガントな攻撃は、Microsoft Office のリモートテンプレート機能と ms-msdt プロトコルを悪用し、マクロを必要とせずに悪意のコードを実行することで、セキュリティ製品を回避し、レーダーを潜り抜けるように設計されている」と指摘している。

現時点では、公式なパッチが存在しないが、この攻撃経路を防ぐために、MSDT URL プロトコルを無効化すること、さらに、File Explorer の Preview Pane をオフにすることが、Microsoft から推奨されている。

Immersive Labs の Nikolas Cemerikic は、「Follina が際立っているのは、この攻撃が Office マクロを利用していないため、マクロが完全に無効化されている環境でも動作する点である。Follina からの攻撃に必要なのは、ユーザーが Word 文書を開いて閲覧するか、Windows Explorer の Preview Pane で文書のプレビューを表示することだけだ。後者は Word を完全に起動する必要がないため、事実上ゼロクリック攻撃となる」と述べている。

Microsoft Office のゼロデイ脆弱性 Follina に関する、第三弾の報道です。1回目と2回目は 5月30日の「Microsoft Office のゼロデイ脆弱性 Follina:マクロとは別経路で PowerShell コードを実行」と「Microsoft Office の脆弱性 Follina に緩和策:ベンダーと研究者の見解に相違が」になります。なお、Office VBA に関する情報は、2月7日の「Microsoft の方針転換:Office VBA MoTW マクロはディフォルトで OFF」 を、ご参照ください。