この記事について
重要な脆弱性に関する情報は世の中にたくさんありますが、この短いバグレポートでは、注目すべきと思われる最新の脆弱性の概要を紹介します。CVSSのような単一のスコアリングシステムに頼らず、長年この業界において経験を積んでいる当社のチームによって、定性的な、経験に基づいた分析を行ないます。私たちは、ワーム可能性、ターゲットの偏在性、悪用される可能性、インパクトなどの特徴を調べます。今回は、CVE-2021-40444に注目します。
CrossView: CVE-2021-40444
CVE-2021-40444について
CVE-2021-40444は、Word、PowerPoint、Excelなどの保護されたビューを使用するOfficeアプリケーションに存在する脆弱性です。攻撃者にリモートコード実行(RCE)を許可してしまいます。CVE-2021-40444は、慎重に作成されたActiveXコントロールと悪意のあるMSキャビネット(.cab)ファイルを、Officeの文書から起動させることが可能な脆弱性です。
最も重要なことは、この脆弱性がアプリケーションそのものと、エクスプローラー (Windows Explorer/File Explorer)のプレビューペインに影響を与えるという点です。
注意が必要な理由
Microsoft Officeアプリケーションを使用している、またはインストールしている多くの人が懸念するはずです。
Officeは地球上で最も広く使用されているアプリケーションの1つです。あなたも今、Officeを開いているかもしれません。多くの企業がグループポリシーレベルでOfficeドキュメント内のマクロを無効にしていますが、ActiveXも同様に扱われているとは思えません。つまり、データを適切に管理していないと、多くのOfficeユーザーがこの脆弱性にさらされることになります。
幸い、メールプロバイダーは悪意のあるファイル(少なくとも既知のPoC)を潜在的なマルウェアとしてフラグを立てて添付ファイルとして削除します。そのため、技術よりも運頼みで拡散させる「spray and pray」型のEメールキャンペーンが、この脆弱性を利用して普及することは、ほぼないと思われます。
脆弱性の悪用を防ぐ
成す術がないわけではありません。WindowsはデフォルトでMark of the Web(MoTW)と呼ばれるフラグを使用して、Officeの保護モードを有効にしています。電子メールの添付ファイルやウェブダウンロードなどには、このMoTWフラグが設定されており、保護モードによりドキュメントに埋め込まれたネットワーク操作やActiveXコントロール、マクロなどが実行されないようになっているため、この脆弱性の悪用を防ぐことが可能です。
しかし、ユーザーが保護されたメッセージの表示に慣れてしまい、結果を考慮せず表示を消してしまうことがよくあります。適切な確認をせずに悪意のあるソフトウェアをインストールしてしまうことがあるように、攻撃者はこの一般的な人間の反応を利用し、標的のマシンを危険にさらすことができます。
さらに、Officeアプリケーション自体やエクスプローラーのプレビューペインから悪用される可能性がありますが、Outlookのプレビューペインは全く異なる方法で動作するため、悪用されることはありません。なぜこのような違いがあるのかについては、マイクロソフト社しか説明できませんが、つまり、Outlookユーザーが悪意のあるファイルを明示的に開かなければ悪用されないということです。ユーザーが悪意のあるファイルを開くために必要な手順が多ければ多いほど、悪用される可能性が低くなります。
問題につながる理由
ファイルがどのように配信され、ユーザーがそれをどこに保存するかによって状況が全く異なります。
電子メールやウェブダウンロード以外にも、カメラのフラッシュカード、サムドライブ、外付けハードドライブなど、ファイルを入手する方法はたくさんあります。これらのソース(および多くの一般的なアプリケーション[1])から開かれたファイルにはMoTWフラグが設定されていません。つまり、攻撃者は悪意のあるファイルを.7zアーカイブで送ったり、ディスクイメージの一部として送ったり、USBフラッシュドライブを通り道に落とすことで、保護機能を完全に回避することができます。このようなファイルを開くようにユーザーを説得することは、他のソーシャルエンジニアリング戦略と同様に難しいことではありません。
デフォルトの保護機能を回避するためのもうひとつの方法は、電子メールやダウンロードしたRTFファイルを利用することです。我々のテストによると、電子メールの添付ファイルから保存されたRTFファイルにはMoTWが適用されませんが、ベクターとして悪用することができます。RTFファイルがこの悪用のための好ましい選択肢になるかどうかは、まだわかりません。
要約
先に記述した詳細は、ぜひ読んでいただきたい重要な内容です。それでももし、この脆弱性に対抗するうえで実際に取るべき対処法だけを知りたいという方は、下記の軽減策からご一読ください。
軽減策
2021年9月14日現在、Windows Updateで提供されているパッチを適用してください。現状では最善の解決策です。
レジストリの回避策を有効にして、ActiveXを無効にします。詳細はMicrosoftのbulletinに記載されており、正式なパッチが適用されるまでの間、悪用行為を効果的に無効にすることができます。
エクスプローラー(Windows Explorer/File Explorer)の「プレビュー」ペインが無効化されていることを確認します(デフォルトでは無効)。これは、エクスプローラーのプレビューペインを悪用した攻撃からのみ保護します。保護モード外のファイル(RTFファイルなど)を開いたり、保護モードを明示的に無効にしたりすれば、悪用されます。
参照基準
パッチを適用できない場合や、本番環境のパッチサイクルがない場合などには、McAfee Enterpriseが対応します。我々の提供するKBでは、エンドポイント(ENS Expert Rules)、ネットワーク(NSP)、EDRの保護・検知技術スタック全体で、この攻撃を包括的にカバーしています。
https://kc.mcafee.com/corporate/index?page=content&id=KB94876
[1] 7zip, files from disk images or other container formats, FAT formatted volumes, etc.※本ページの内容は2021年9月17日(US時間)更新の以下のMcAfee Enterprise Blogの内容です。原文:The Bug Report | September 2021: CVE-2021-40444著者:Kevin McGrath, Eoin Carroll, Steve Povolny
■関連サイト