【Microsoft】Office365等に有効なゼロデイ攻撃「CVE-2021-40444」、予想以上に危険であると話題に…緩和策を迂回することが可能 [樽悶★]
■ このスレッドは過去ログ倉庫に格納されています
9月7日にマイクロソフトが公表したOffice365等に対して有効なゼロデイ攻撃CVE-2021-40444が、当初予想されていた以上に危険であると海外のセキュリティ研究者の間で話題になっている。
■CVE-2021-40444とは?
Internet ExplorerブラウザのレンダリングエンジンであるMSHTMLに関する脆弱性であり、本脆弱性を悪用されると、サイバー攻撃者は遠隔からターゲットのWindows10等で任意のコードを実行可能になるという。
マイクロソフトは「既に本脆弱性が標的型攻撃で悪用されている」としている。
Internet Explorerブラウザはもう利用していないから大丈夫と思われるかもしれないが、MSHTMLはMicrosoft Officeドキュメントにも利用されているため、Office365にも本脆弱性が有効に機能する。サイバー攻撃者の狙いはOffice365を利用しているユーザーだ。
マイクロソフトは本脆弱性を「CVE-2021-40444」として登録し、「保護ビュー」で開かれた場合には安全であるということと、緩和策として「ActiveXを無効にする」方法を公開しているが、パッチはまだ提供されていない。
■ActiveXの無効化では不十分との指摘
海外のセキュリティ研究者達は「ActiveX無効化だけでは不十分である」と呼びかけており、既にActiveXが無効化されていても本脆弱性を利用する方法が実証されている。
■保護ビューによる防御も不十分との指摘
マイクロソフトはMS365のWord等でインターネットからダウンロードしたオフィスドキュメントは「保護ビュー」で開かれるため、万が一ユーザーが本脆弱性を悪用するようなドキュメントをうっかり開いてしまったとしても「保護ビュー」で開かれている限り安全であると主張している。
・ユーザーによって無効化されるリスク
しかし、海外のセキュリティ研究者達は「保護ビュー」はユーザーによって「無効化」されることが多いと指摘している。
インターネットからダウンロードしたオフィスドキュメントを開こうとすると以下のような警告が画面上部に表示されることがある。このような状態で開かれているオフィスドキュメントは「保護ビュー」という「読み取り専用のモード」で開かれているため、悪意のあるスクリプト等の実行等を防いでくれる。
しかし、日常的にこのような警告を頻繁に目にしているようなユーザーは「編集を有効にする」ボタンを無意識にクリックしてしまうこともあるため、「編集を有効にする」ボタンをクリックした瞬間に「悪意のあるコード」が実行されてしまう。
・「保護ビュー」が作動しないリスク
セキュリティ研究者のRich Warren氏は「プレビューモード」を有効にしたWindowsエクスプローラで、本脆弱性を埋め込んだリッチテキスト形式のRTFファイルを「プレビュー」すると、ファイルを開かなくても即座に特定アプリケーションが実行出来ると実証している。
RTFファイルを「プレビュー」している時点ではMS365の「保護ビュー」がそもそも作動しない。
■対応策
現時点ではマイクロソフトは本脆弱性に関するパッチをリリースしていない。マイクロソフト自体が「既に本脆弱性が標的型攻撃で悪用されている」と公表しているため、情報システム部門は本脆弱性に十分警戒する必要があるだろう。
しかし、既に緩和策を迂回する方法も発見されているため、高度化した攻撃が仕掛けられるかもしれない。
情報システム部門は早急に本脆弱性の重要度を社内で議論し、パッチがリリースされ本脆弱性の脅威が排除されたと認識出来るまでの間は以下の三点の行動指針を社内に周知することを推奨する
・信頼できる人物以外からの添付ファイルを開かない
・「保護ビュー」で文書が開かれた際には「編集を有効にする」をクリックしない
・どうしても「編集を有効にする」をクリックする必要がある場合には、個別にWindows Defender等のスキャンを実施し安全であることが確認出来てから開くようにする
なお、「ActiveXの無効化」については上述した通り既に「ActiveXが無効化されていても悪用可能」であることが知れ渡っているので「過信しない」ことを推奨する。
また、もしSWGやProxyソリューションを導入している場合には、CVE-2021-40444が利用するURLへの通信をブロックしてしまうのも緩和策として有効だろう。
9/12(日) 6:02
https://news.yahoo.co.jp/byline/ohmototakashi/20210912-00257839
https://newsatcl-pctr.c.yimg.jp/r/iwiz-yn/rpr/ohmototakashi/00257839/title-1631377659938.jpeg >>46
当初の説明だと組み込まれたhtmlのスクリプトがインチキなActiveXを組み込む
そのActiveXがモジュール改竄したり、鍵にタッチしたり、ロック設定したりという事だった
ActiveXに見せかけて任意のコードを実行されます、とほぼ同義なのが実態だった >>50
ワードでなくてもレンダラーがIE依存だったら同じ話だぞ こういう老人が理解不能なスレは全然伸びないな
5chがいかに高齢の政治的工作員だらけか分かるわ >>1
んなことより、先週のOFFICEアップデートでExcelを勝手に消すの、やめてくれん?(2019、365)
オンライン修復以上でないと復活しないし、プロダクトキー入れて再認証しないとならんし、面倒くさいったら >>52
つまり発症のトリガーとなるコードは、あくまでオフィスのアクティブXを読み込む部分で、別にブラウザ関係ない。
保護ビューで開いたときはロードせんが、ぽちると読み込まれ、ダウンロードでインジェクション。
破壊するフロンティア開拓。となるのかな。
なんにせよ保護ビューを無闇に押さない。がベターなんだが、プレビューは保護ビューなしで開くからインジェクションまでのフェイルセーフがないってことかな。
サンクス 頼むからこれを機にIEを消去してくれよ…
来年なくなるじゃんと思うかもしれんが
WIn10 LTSBではまだ2029年まで残るんだ… こういうのってダウンロード後の任意ファイルをターゲットとしたウィルススキャンで検出出来ないの? >>61
ダウンロードされるファイルを検出できないとき無理 >>23
セキュリティソフトの機能でそういうサイトをブロックしてくれるものがある。
ウイルスバスターだとWebレピュテーション機能。 確かにOfficeの警告ウザすぎるくらい出るわ
保護ビューの表示画面が酷過ぎて無効化せざるを得ない >>15
アウトだから問題なのでは
プレビューで実行できる
プレビューする前にdefenderが検知できればいいけど >>65
Nimdaの時、Outlook(OutlookExpressてばない方)はHTMLメール表示にIEを使っていないと聞いたもんで。
時は経ってるし、RTFだとまた別な話かと思ったもので。 今もまだPrintSpoolerサービス止めてるわ ウイルスにはワクチンでしょ?
MSBG-COV-2ワクチンでOffice365も安全安心だよ 敵365日360度より来たる
我に365度の構えあり >>58
ブラウザ関係あるがなw
IE11以降のブラウザはそもそもActiveXの概念がないんだから >>60
IEを消去もクソも韓国台湾じゃ未だにIE11が圧倒的シェア
韓国なんかどこのサイトも隙あらばActiveXを導入させてくる
通販サイトだとか動的にページ生成してるサイトだとめちゃくちゃ多い >>79
へーへーへーへー
それは知らんかったわ
B2Bまでそんな感じだと
来年からどうすんだろうね 仕方ねーな、Winhttpサービス中継する形に置き換えるか。 outlookのプレビュー機能を無効化してる我が社最強。
しかし保護ビューを無意識に解除するんで意味無しw >>81
最近のWebサービスはみんなJSありきだから
下手にプロキシすると
クロスドメイン問題で動かなくなるものが多いんじゃね? 会社でwindowsupdate来て大変になってるんだが、これだろ >>73
そもそもお前のPCなんて誰も狙ってないから。 自動的に新IMEの入力モードがきりかわらないから? >>88
なるほど、容量が大きくてネットワークがパンクしたとかプロバイダや回線事業者の容量制限にひっかかったのね。
ありがとう。 正しくないイメージ
やられたっぽい
biosに感染するからマジうざい この春からWin10のPC使い始めたんだけど
ネットの読み込みがやたら時間かかることが多い
普通のブラウザもそうだしこの5chも専ブラで読んでるけど
スレのログを更新しようすると頻繁に待たされる(1回あたり15秒くらい)
それで1回読み込めば、連続でクリックしてる間はしばらくスムーズになる
ちょっと間が空くとまた同じ状態
セキュリティ機能が何か関係してるのだろうか
Windows標準のそのまま使ってるだがけっこうなストレスだ >>80
むしろB2Bのほうがレガシー等でIEのみ対応のシステムが多いだろ これイントラネットにばら撒く底辺続出しないの?
アップルのワームはアップル自身はどうしてんだ?謎すぐる ハイ!フェリカリーダー死んだ!ついでに電子納税も死んだ!
マイナンバーも死んでしまうん? Microsoftが、今回の脆弱性をついた攻撃方法公開してなかったっけ? >>1
つまりfirefoxとLibreOfficeを使ってれば安心なのか? ■ このスレッドは過去ログ倉庫に格納されています