【Microsoft】Office365等に有効なゼロデイ攻撃「CVE-2021-40444」、予想以上に危険であると話題に…緩和策を迂回することが可能

1 : 2021/09/15(水) 06:30:13.42 ID:/zcpNSeZ9

9月7日にマイクロソフトが公表したOffice365等に対して有効なゼロデイ攻撃CVE-2021-40444が、当初予想されていた以上に危険であると海外のセキュリティ研究者の間で話題になっている。

■CVE-2021-40444とは?

Internet ExplorerブラウザのレンダリングエンジンであるMSHTMLに関する脆弱性であり、本脆弱性を悪用されると、サイバー攻撃者は遠隔からターゲットのWindows10等で任意のコードを実行可能になるという。

マイクロソフトは「既に本脆弱性が標的型攻撃で悪用されている」としている。

Internet Explorerブラウザはもう利用していないから大丈夫と思われるかもしれないが、MSHTMLはMicrosoft Officeドキュメントにも利用されているため、Office365にも本脆弱性が有効に機能する。サイバー攻撃者の狙いはOffice365を利用しているユーザーだ。

マイクロソフトは本脆弱性を「CVE-2021-40444」として登録し、「保護ビュー」で開かれた場合には安全であるということと、緩和策として「ActiveXを無効にする」方法を公開しているが、パッチはまだ提供されていない。

■ActiveXの無効化では不十分との指摘

海外のセキュリティ研究者達は「ActiveX無効化だけでは不十分である」と呼びかけており、既にActiveXが無効化されていても本脆弱性を利用する方法が実証されている。

■保護ビューによる防御も不十分との指摘

マイクロソフトはMS365のWord等でインターネットからダウンロードしたオフィスドキュメントは「保護ビュー」で開かれるため、万が一ユーザーが本脆弱性を悪用するようなドキュメントをうっかり開いてしまったとしても「保護ビュー」で開かれている限り安全であると主張している。

・ユーザーによって無効化されるリスク

しかし、海外のセキュリティ研究者達は「保護ビュー」はユーザーによって「無効化」されることが多いと指摘している。

インターネットからダウンロードしたオフィスドキュメントを開こうとすると以下のような警告が画面上部に表示されることがある。このような状態で開かれているオフィスドキュメントは「保護ビュー」という「読み取り専用のモード」で開かれているため、悪意のあるスクリプト等の実行等を防いでくれる。

しかし、日常的にこのような警告を頻繁に目にしているようなユーザーは「編集を有効にする」ボタンを無意識にクリックしてしまうこともあるため、「編集を有効にする」ボタンをクリックした瞬間に「悪意のあるコード」が実行されてしまう。

・「保護ビュー」が作動しないリスク

セキュリティ研究者のRich Warren氏は「プレビューモード」を有効にしたWindowsエクスプローラで、本脆弱性を埋め込んだリッチテキスト形式のRTFファイルを「プレビュー」すると、ファイルを開かなくても即座に特定アプリケーションが実行出来ると実証している。

RTFファイルを「プレビュー」している時点ではMS365の「保護ビュー」がそもそも作動しない。

■対応策

現時点ではマイクロソフトは本脆弱性に関するパッチをリリースしていない。マイクロソフト自体が「既に本脆弱性が標的型攻撃で悪用されている」と公表しているため、情報システム部門は本脆弱性に十分警戒する必要があるだろう。

しかし、既に緩和策を迂回する方法も発見されているため、高度化した攻撃が仕掛けられるかもしれない。

情報システム部門は早急に本脆弱性の重要度を社内で議論し、パッチがリリースされ本脆弱性の脅威が排除されたと認識出来るまでの間は以下の三点の行動指針を社内に周知することを推奨する

・信頼できる人物以外からの添付ファイルを開かない

・「保護ビュー」で文書が開かれた際には「編集を有効にする」をクリックしない

・どうしても「編集を有効にする」をクリックする必要がある場合には、個別にWindows Defender等のスキャンを実施し安全であることが確認出来てから開くようにする

なお、「ActiveXの無効化」については上述した通り既に「ActiveXが無効化されていても悪用可能」であることが知れ渡っているので「過信しない」ことを推奨する。

また、もしSWGやProxyソリューションを導入している場合には、CVE-2021-40444が利用するURLへの通信をブロックしてしまうのも緩和策として有効だろう。

9/12(日) 6:02
https://news.yahoo.co.jp/byline/ohmototakashi/20210912-00257839
レス1番の画像サムネイル

3 : 2021/09/15(水) 06:33:18.91 ID:bDsKJx1x0
office2010を使い続けてます
4 : 2021/09/15(水) 06:33:29.63 ID:4C7f+wI90
365日だから0デイ攻撃ってけとか
やっぱり3歩進んで2歩さがるだな
5 : 2021/09/15(水) 06:42:26.89 ID:2bZOMbWT0
ActiveXって何だったんだ?
まともに使われているの見たことないんだが
6 : 2021/09/15(水) 06:45:18.39 ID:7qGl2I1c0
パッチ出す気無さそうなんで死人出してるのに止めないワクチンとかと同じく
「仕様です」と言うお話なんだな…
7 : 2021/09/15(水) 06:47:00.71 ID:ysobsx0l0
Office2010最強
8 : 2021/09/15(水) 06:53:33.46 ID:jKhfn7IS0
一太郎
ロータス1-2-3 これなら安全
9 : 2021/09/15(水) 06:53:36.45 ID:Zbyab3Zg0
skype
10 : 2021/09/15(水) 07:01:17.09 ID:wJcxDrgJ0
知ってた
365は勝手口ドアみたいなもの
14 : 2021/09/15(水) 07:05:41.69 ID:3lPFkqOL0
>>10
365日鍵ゼロという意味やろ
11 : 2021/09/15(水) 07:02:29.06 ID:8RKpIFyq0
どうすんだよ
12 : 2021/09/15(水) 07:04:26.84 ID:X6oSeCzm0
よくオークションサイトなんかで格安のofficeとかあるけど、あれって使えるの?
13 : 2021/09/15(水) 07:05:14.55 ID:3lPFkqOL0
ゴミオフィス

誰使ってるの?

15 : 2021/09/15(水) 07:12:48.41 ID:9jlywJcN0
問題の脆弱性をつくRTFをOutlookのプレビューで表示させても平気なのかね?
16 : 2021/09/15(水) 07:14:17.04 ID:9jlywJcN0
一応、脆弱性は今日のWindowsupdateで修正されている模様
17 : 2021/09/15(水) 07:15:52.32 ID:9jlywJcN0
HTMLやリッチテキストメール表示にIE使うメーラーはアウトだよね。
18 : 2021/09/15(水) 07:17:16.04 ID:O5sLAoe20
>>1
対策しろよクズ
19 : 2021/09/15(水) 07:20:07.47 ID:MlQjAqel0
アクティブx無効、オンラインストレージ経由で外部から来たオフィすファイルは保護ビューを解かない、外部に送る時は可能な限りpdfで送る。
スクリプトつきファイルは相談して開ける。
まあパッチでるまで祭かな、
20 : 2021/09/15(水) 07:22:42.48 ID:9jlywJcN0
nimdaの再来になるかな。
21 : 2021/09/15(水) 07:25:00.63 ID:dEp+q+bf0
office2019使ってる俺に死角はなかった
23 : 2021/09/15(水) 07:25:54.70 ID:KXUP1k7Q0
「CVE-2021-40444が利用するURL」の情報てどこかに出てる?
24 : 2021/09/15(水) 07:28:32.52 ID:9jlywJcN0
エクスプローラでプレビューで実行=表示にIE使ってるメールソフトで添付ファイルプレビュー
RTF表示メールならメール本分プレビューまたは表示するだけでやられちゃう
26 : 2021/09/15(水) 07:29:52.72 ID:3PfstqnF0
添付ファイルなんてこないしなあ
27 : 2021/09/15(水) 07:30:21.89 ID:9oa9/1Ql0
IEなんて未だに使ってる香具師なんておりゅの?www
29 : 2021/09/15(水) 07:31:35.37 ID:TmXfEpxi0
ワード2007使いのワイ最強(^_^;)
30 : 2021/09/15(水) 07:34:35.75 ID:MlQjAqel0
自分の投稿だけど、
短文とリンクだけと
明らかに詐欺メールだわな、これ
31 : 2021/09/15(水) 07:34:49.96 ID:JKjLGgso0
そもそもMSHTMLなんていう危険な機能に通常の文書ファイルが対応しているのが間違いだろ

そういうのを埋め込めるファイルは拡張子が.docexeみたいなやつにして、文書に歯車が乗った怪しいデザインにしなくちゃ駄目だよ

37 : 2021/09/15(水) 07:40:28.15 ID:MlQjAqel0
>>31
バイオハザードマークのバッヂつけたりな。
スクリプト付きは全部統一。
32 : 2021/09/15(水) 07:35:39.50 ID:e24TBS/f0
脆弱性云々の前に
ダウンロード、アカウント管理がまずめんどくせえ

ライセンス認証済んだらほっといてくれ

33 : 2021/09/15(水) 07:35:54.71 ID:9jlywJcN0
WebメールをIEでみて脆弱性をつくHTMLメールがきてもアウトだよね。
34 : 2021/09/15(水) 07:37:02.71 ID:JKjLGgso0
>>33
役所はそれでやられそう
41 : 2021/09/15(水) 07:44:02.92 ID:MlQjAqel0
>>34
nhkや役所がエクセルで公開しているファイルもcsvになり、見映えが悪い!公開データならキチンと様式書式を整えなさいのクレーム対応の幻視
36 : 2021/09/15(水) 07:38:53.74 ID:MlQjAqel0
しかしエクスプローラーからのプレビュー禁止するいいチャンスだと思った。
これ、実際に開いているからファイルロックが入り、他で開こうとすると開けないってことがよくある。
大手を振って、セキュリティでござる!殿中でおじゃる!プレビュー機能排斥するぞ!えっへん誇らしい
やれるな、、(,嘔吐)
38 : 2021/09/15(水) 07:40:31.92 ID:9jlywJcN0
nimdaの時

nimdaキター!→削除のためクリック(プレビューON)→Nimda感染

39 : 2021/09/15(水) 07:43:11.21 ID:KHCFMe160
スプレッドシートに切り替えだな
40 : 2021/09/15(水) 07:43:52.84 ID:+DLYJkho0
対策
WIndowsを使わない。macOSなら安心
MS Officeを使わない。一太郎なら安心
インターネットに接続しない。PC-VANなら安心
42 : 2021/09/15(水) 07:44:42.01 ID:8+RHhukk0
PCで運用してるプロバイダーメールをもう使わない方向で整理してるから
とりあえずうちは問題ないな
43 : 2021/09/15(水) 07:45:05.58 ID:1ThlDSHV0
今日公開のパッチで対処した?
44 : 2021/09/15(水) 07:48:53.48 ID:9jlywJcN0
>>43
そうみたい

コメント

タイトルとURLをコピーしました