Microsoft Office ゼロデイ CVE-2023-36884:標的型攻撃で活発に悪用されている

Unpatched Office zero-day CVE-2023-36884 actively exploited in targeted attacks

2023/07/12 SecurityAffairs — Microsoft が明らかにしたのは、複数の Windows/Office 製品に存在する、パッチ未適用のゼロデイ脆弱性の悪用である。この脆弱性 CVE-2023-36884 は、悪意の Office 文書を介してリモートでコードを実行するために、国家に支援される脅威アクターやサイバー犯罪者に悪用されている。同社は、Windows/Office 製品に影響を及ぼす、一連のリモート・コード実行の脆弱性に関する報告を調査しており、特別に作成された Office 文書を用いて、この脆弱性を悪用しようとする攻撃を認識しているという。


Microsoft  はアドバイザリで、「攻撃者は、被害者のコンテキストでリモート・コード実行を可能にするための、特別に細工された Microsoft Office 文書を作成できる。しかし攻撃者は、被害者に悪意のファイルを開かせる必要がある。この調査が完了し次第、ユーザーを保護するための適切な措置を講じる予定だ。そこに含まれるのは、 ユーザーのニーズに応じた、毎月のリリース・プロセスを通じ たセキュリティ更新プログラムの提供や、サイクル外のセキュリティ更新プログラムを提供である」と 述べている。

Microsoft は、この脆弱性への対応に取り組んでおり、専門家たちは、8月の Patch Tuesday 前にリリースされるサイクル外のパッチで修正されると指摘している。

Microsoft は別の投稿で、ロシアのサイバー犯罪グループ Storm-0978 (別名 DEV-0978/RomCom) が、欧州と北米の防衛/政府機関を狙ったフィッシング・キャンペーンを展開していると発表した。この脅威 アクターは、ウクライナ世界会議に関連するルアーを使用して、CVE-2023-36884 を悪用していたことが確認された。

Microsoft はブログで「原因となるフィッシング活動を分析すると、Storm-0978 はゼロデイ脆弱性を標的とするためのエクスプロイトを取得していたことになる。確認されたエクスプロイト活動には、2023年6月に Microsoft Word 文書を介して悪用された、リモート・コード実行の脆弱性 CVE-2023-36884 などの悪用や、セキュリティ機能のバイパスをもたらす脆弱性の悪用が含まれる」と述べている。

同社は、パッチが適用されていないゼロデイに対して、以下の緩和策を提供している:

  • Microsoft Defender for Office:この脆弱性を悪用しようとする、添付ファイルから保護される。
  • Microsoft Defender for Office:この脆弱性を悪用しようとする、添付ファイルから保護される。現在の攻撃チェーンに対しては、すべての Office アプリケーションが子プロセスを作成するのをブロックする、攻撃サーフェス削減ルールを使用することで、脆弱性が悪用されるのを防ぐことが可能だ。
  • これらの保護を利用できない組織では、FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION レジストリキーを設定することで、脆弱性の悪用を回避できる。これらのレジストリ設定により、この問題の悪用は軽減されるが、これらのアプリケーションに関連する特定のユースケースにおける、通常の機能に影響を与える可能性があることに注意が必要だ。以下のアプリケーション名を、data 1 を持つ REG_DWORD 型の値として、このレジストリキーに追加する:

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION

  • Excel.exe
  • Graph.exe
  • MSAccess.exe
  • MSPub.exe
  • PowerPoint.exe
  • Visio.exe
  • WinProj.exe
  • WinWord.exe
  • Wordpad.exe

文中で NATO への攻撃が説明されていますが、2023/07/10 の「NATO 首脳会議を標的にした攻撃:RomCom によるマルウェア配布が確認された」と、文脈が一致しています。そして、脆弱性 CVE-2023-36884 ですが、2023/07/11 の「Microsoft 2023-07 月例アップデート:6件のゼロデイと 132件の脆弱性に対応」にも、「この調査が完了した時点で、顧客を保護するための適切な措置を講じる」とされています。お隣のキュレーション・チームに聞いたところ、7月20日に情報が更新されたとのことです。