Details Released for Microsoft Excel RCE (CVE-2023-36041) Vulnerability
2023/11/23 SecurityOnline — 最近のことだが、Cisco Talos インテリジェンス・グループが、Microsoft Excel の深刻な脆弱性を発見した。この脆弱性 CVE-2023-36041 (CVSS:7.8) は、Microsoft Office Professional Plus 2019 Excel 内 の、ElementType 属性の処理に関連するものだ。この問題を発見した Cisco Talos の Marcin ‘Icewall’ Noga は、攻撃者が標的のマシン上で任意のコードを実行する可能性があると述べている。
この脆弱性を悪用する前提として、攻撃者は標的のユーザーを騙して、特別に細工された Excel スプレッドシートを開かせる必要がある。悪意のファイルが開かれると、攻撃者はユーザーのシステムを制御できるようになり、データの盗難/マルウェアのインストール/システムの侵害などの可能性が生じる。
Microsoft の警告は、この脆弱性の悪用に成功した攻撃者が、影響を受けるシステム上でのデータの読み取り/書き込み/削除などの、高い権限を得る可能性があるというものだ。このレベルのアクセスは、組織にとっても個人にとっても深刻な脅威となる。
Cisco Talos の研究者は、「不正な ElementType 要素により、HtmlPivotTableInfo に関連する構造体への割り当てが解除される。具体的に言うと、ElementType 要素に含まれている AttributeType と、ファイル・フォーマット・ドキュメントで定義されている ElementType サブ要素が矛盾するため、この割り当ての解除が発生する。この脆弱性を完全に制御できる攻撃者は、戦略的なヒープ・グルーミングにより、さらなるメモリ破壊を引き起こし、ひいては任意のコード実行へといたる」と説明している。
このような脆弱性の影響は広範囲に及ぶ。Microsoft Excel は単に個人のためのツールではなく、世界中の企業/教育機関/政府にとって不可欠なものだ。この脆弱性が悪用されると、機密情報の漏洩/経済的損失/深刻なプライバシー侵害につながる恐れがある。
Microsoft は、11月の月例アップデートで、この CVE-2023-36041 に対処するセキュリティ更新プログラムをリリースした。すべての Microsoft Office Professional Plus 2019 Excel のユーザーにとって極めて有用なことは、この更新プログラムを速やかにインストールすることだ。
組織/個人ユーザーにとって必要なのは、セキュリティ・パッチの適用に加えて、この脆弱性に対する保護を強化するために、以下のサイバーセキュリティ対策を採用することだ:
- 不審な Excel ファイル、特に不明なソースから受信したファイルを開かないようにする。
- マクロは、絶対に必要な場合にのみ有効にする。
- 次世代ファイアウォールと侵入検知/防止システム (IDS/IPS) を採用し、ネットワーク・トラフィック上の悪意の活動の兆候を監視する。
- 攻撃者に悪用される可能性のある脆弱性に対処するため、ソフトウェアとオペレーティング・システムを定期的に更新する。
- フィッシング詐欺を見破り、不明なリンクをクリックしないようにするなど、サイバーセキュリティのベスト・プラクティスについて従業員を教育する。
Excel に関しては、さまざまな攻撃手法があるようです。今年に入ってからの関連記事としては、2023/01/23 の「Microsoft のマルウェア対策:Excel XLL add-in の制限が 2023年3月から始まる」や、2023/03/07 の「Microsoft Excel の XLL add-ins がデフォルトでブロック:さらなる MoTW の強化」などがあります。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.