Microsoft Office update breaks actively exploited RCE attack chain
2023/08/08 BleepingComputer — Microsoft は 8月8日に、CVE-2023-36884 として追跡されている RCE 脆弱性の悪用を防ぐ、Microsoft Office のアップデートをリリースした。このアップデートは、7月に公開された CVE-2023-36884 を修正するものだ。その当時、Microsoft はパッチを適用せずに、緩和のためのアドバイスを提供していた。当初、この脆弱性は、Microsoft Office の RCE (Remote Code Execution) として報告されていたが、さらなる検証の結果、Windows Search の RCE として分類された。
この脆弱性は、RomCom 脅威グループによる金銭/スパイ活動を目的とした攻撃で、ゼロデイとして悪用された。同グループは悪意の Microsoft Office 文書を使用してリモート・コード実行を成功させていた。
RCE を阻止するためのセキュリティ強化
8月8日のアドバイザリーで Microsoft は 、「この Office のアップデートは、深部の防御対策としてセキュリティを強化するものである。具体的に言うと、脆弱性 CVE-2023-36884 を誘発する、攻撃チェーンを阻止するためのものだ」と説明している。
Microsoft は、本日リリースされた Office の更新プログラムおよび、8月以降の Windows の更新プログラムをインストールすることを推奨している。
Microsoft はアドバイザリで、攻撃者は特別に細工したファイルをメールやメッセージ通信で送信することで、この脆弱性を悪用できると説明している。
ユーザーとのインタラクションは必要だが、脅威アクターは説得力のあるルアーを簡単に考え出し、潜在的な被害者をおびき寄せ、悪意のファイルを開かせることができる。
Microsoft の評価では、悪用に成功した攻撃者により、機密性/完全性/可用性が大きく損なわれる可能性があるという。つまり、攻撃者が Mark of the Web (MoTW) バイパスを回避して悪意のファイルをドロップし、侵害したシステム上でコードを実行できることを意味する。
文中にあるように、この脆弱性は、2023/07/12 の「Microsoft Office ゼロデイ CVE-2023-36884:標的型攻撃で活発に悪用されている」で、「Windows/Office 製品に存在する、パッチ未適用のゼロデイ脆弱性であり、悪意の Office 文書を介したリモートコード実行を引き起こすと、説明されていました。なお、2023/08/08 の「Microsoft 2023-08 月例アップデート:2件のゼロデイと 87件の脆弱性に対応」では、ADV230003 として、解説されています。
IoT OT Security News 
You must be logged in to post a comment.