Microsoft の MoTW ゼロデイ脆弱性：VBA Macro ブロックに関連する重要機能

Microsoft Patches MotW Zero-Day Exploited for Malware Delivery

2022/11/09 SecurityWeek — Microsoft の最新 Patch Tuesday では、サイバー犯罪者がマルウェアを送り込むために悪用している、Mark-of-The-Web (MoTW) セキュリティ機能の欠陥などを含む、６つのゼロデイ脆弱性が対処された。Windows では、ブラウザからのダウンロード・ファイルや電子メールの添付ファイルといった、信頼できない場所から送られてくるファイルに、MoTW フラグが追加される。そして、MoTW が設定されたファイルを開こうとすると、潜在的なリスクについて警告が表示され、それが Office ファイルの場合には、悪質なコードの実行を防ぐために VBA マクロがブロックされる。

しかし、MoTW 防御を迂回する方法も存在する。研究者である Will Dormann は、３種類の MoTW バイパス方法を特定し、この夏に Microsoft に報告した。しかし、パッチが配布されたのは 11月のアップデートであり、そのうちの２つの脆弱性に対するものだけだった。一連の MoTW 回避の手法は、ほぼ全ての Windows バージョンに対して有効である。

そのうちの１つは、ZIP アーカイブ内に悪意のファイルを仕込んで配信する方法である。この悪意のファイルを解凍すると、MoTW が機能するため、ユーザーに対する警告が表示される。しかし、ファイルがアーカイブ内からダイレクトに実行された場合には、Windows は警告を出さずに、それを実行してしまう。この問題は、CVE-2022-41049 として追跡され、11月の Patch Tuesday でパッチが適用された。

もう１つの MoTW バイパス方法は、悪意のファイルを Read Only にして、ZIP アーカイブ内に配置するものだ。このファイルを解凍すると、Windows は MoTW の設定を試みるが失敗してしまう。したがって、Windows による警告が行われずに、そのファイルは実行される。

この脆弱性は CVE-2022-41091 として追跡されており、Microsoft により修正された。なお、この方法は、野放し状態で悪用されていることを、Microsoft も確認している。

Microsoft のアドバイザリは、「攻撃者は、MoTW 防御を回避する、悪意のファイルを細工することが可能だ。その結果として、MoTW のタグ付けに依存する Microsoft Office の Protected View などの、セキュリティ機能の整合性と可用性が限定的に失われている。ただし、この脆弱性を悪用するには、ユーザーによる操作が必要だ」と指摘している。

最近になって HP のセキュリティ研究者たちが、この技術を利用してマルウェアを配信する、Magniber ランサムウェア・キャンペーンを分析した。

また、10月中旬には、この問題を調査してきた NCC Group の Rich Warren が、悪意のサンプルが発見されたが、その時期は 10カ月前にさかのぼると述べている。 Warren は、この脆弱性を悪用しようとする、ZIP ファイルを検出するための、Yara ルールも公開している。 今回のパッチが公開された後に Microsoft の Bill Demirkapi は、この積極的に悪用されている脆弱性へのパッチ適用に、７月から取り組んできたことを明らかにした。同社は、複数の研究者から、この問題の指摘を受けたという。

Demirkapi は、「これは、まだ始まりに過ぎない。変更のための時間が必要だ。私たちが最近になって認識した MoTW の問題には、亜種の存在などの、他の問題が残っている。MoTW バイパスは通常、MSRC のサービス提供の基準を満たさないが、現実に悪用された問題については例外にできる」と語っている。

なお、今回はパッチが適用されなかった MoTW バイパスの脆弱性とは、破損した Authenticode に関連するものだ。ファイルが不正な Authenticode 署名を持っている場合に、Windows の警告ダイアログは表示されない。

この７月に、サイバーセキュリティ企業の proofpoint は、IMG／ISO／RAR／ZIP などのコンテナ・ファイル内に悪意の Office文書を埋め込み、MoTW を回避する脅威アクターがいると報告していた。

この MoTW (Mark-of-The-Web) の問題については、9月30日の「Windows の MoTW ゼロデイ脆弱性：Magniber ランサムウェアを 0Patch が阻止する？」で、すでにお伝えしています。Office VBA マクロをディフォルトで OFF にするという、Microsoft の重大な方針転換にも絡む話であり、また、11月2日に再開が確認された Emotet においても、標的とされるポイントとなっています。複数の製品にまたがる、かなり厄介な問題なので大変でしょうが、Microsoft に頑張って欲しいところです。