Microsoftは米国時間5月30日、「Windows」のツール「Microsoft Support Diagnostic Tool(MSDT)」に存在するあるゼロデイ脆弱性の概要を発表するとともに、攻撃の回避策を明らかにした。この脆弱性は、悪意のある「Microsoft Word」文書を介した攻撃を可能にするものであり、実際に攻撃が確認されてもいるという。
提供:Getty Images/iStockphoto
あるセキュリティ研究者の27日付けのツイートによると、この悪意あるWord文書は25日、Googleが運営するマルウェア検査サイト「VirusTotal」にベラルーシのIPアドレスからアップロードされていた。
セキュリティ研究者のKevin Beaumont氏は、悪意のあるドキュメントから正規のMSDTを介することで、マクロを無効化している場合であってもリモードコードの実行が可能になってしまうという脆弱性を発見した。
インターネット上の文書のマクロ実行を抑止する機能であるOfficeの保護ビューは問題なく機能する。しかしBeaumont氏によると、Wordの文書をRich Text Format(RTF)に変換した後で実行すると、悪意のあるコードが実行される可能性があるという。
同氏はこれを、マクロを無効化するというユーザー設定が無視されてしまう、「Office製品内でコード実行を許してしまうゼロデイ」脆弱性だと表現した。発見当時の「Microsoft Defender Antivirus」はこの攻撃を検知することができなかったが、その後同製品はアップデートされ、検知できるようになっている。
Beaumont氏やその他の研究者らによると、この脆弱性は「Office 2021」「Office 2019」「Office 2016」「Office 2013」「Office ProPlus」「Office 365」で確認されたという。
Microsoftは、共通脆弱性識別子「CVE-2022-30190」をこの問題に割り当てている。パッチはまだリリースされていないものの、Microsoft Security Response Center(MSRC)はこの「Windows上のMSDTに潜む脆弱性」の詳細と回避方法を説明するとともに、Defenderに対するアップデートを実施し、この攻撃のシグネチャーを組み込んだ。
MSRCは「WordなどのアプリケーションからURLプロトコルを用いてMSDTを呼び出した際に、遠隔地からのコード実行(RCE)を可能にする脆弱性が存在している。この脆弱性が悪用された場合、攻撃者は呼び出し側アプリケーションの権限で任意のコードを実行できるようになる。このため、攻撃者はユーザーの権限で許されているコンテキストにおいて、プログラムのインストールや、データの閲覧/変更/削除のほか、新たなアカウントの生成が可能になる」と記している。
CVE-2022-30190に関するMicrosoftの発表によると、この脆弱性はWindowsと「Windows Server」の多数のバージョンに搭載されているMSDTに影響を及ぼすという。
MicrosoftはCVE-2022-30190の深刻度を「重要」(important)としており、MSDTのURLプロトコルを無効化し、MSDTのトラブルシューターがリンクとして起動されないようにするための以下の手順を公開している。
- 管理者(Administrator)権限で「コマンドプロンプト」(Command Prompt)を起動する。
- 「reg export HKEY_CLASSES_ROOT\ms-msdt filename」コマンドを実行して、レジストリーキーのバックアップを作成する。
- 「reg delete HKEY_CLASSES_ROOT\ms-msdt /f」コマンドを実行する。
また、「Microsoft Defender Antivirus」の検出ビルド1.367.719.0以降では以下のシグネチャーで、この脆弱性を突いた攻撃を検知できるという。
- Trojan:Win32/Mesdetty.A
- Trojan:Win32/Mesdetty.B
- Behavior:Win32/MesdettyLaunch.A
- Behavior:Win32/MesdettyLaunch.B
- Behavior:Win32/MesdettyLaunch.C
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。