X


【Microsoft】Office365等に有効なゼロデイ攻撃「CVE-2021-40444」、予想以上に危険であると話題に…緩和策を迂回することが可能 [樽悶★]

■ このスレッドは過去ログ倉庫に格納されています
2021/09/15(水) 06:30:13.42ID:/zcpNSeZ9
9月7日にマイクロソフトが公表したOffice365等に対して有効なゼロデイ攻撃CVE-2021-40444が、当初予想されていた以上に危険であると海外のセキュリティ研究者の間で話題になっている。

■CVE-2021-40444とは?

Internet ExplorerブラウザのレンダリングエンジンであるMSHTMLに関する脆弱性であり、本脆弱性を悪用されると、サイバー攻撃者は遠隔からターゲットのWindows10等で任意のコードを実行可能になるという。

マイクロソフトは「既に本脆弱性が標的型攻撃で悪用されている」としている。

Internet Explorerブラウザはもう利用していないから大丈夫と思われるかもしれないが、MSHTMLはMicrosoft Officeドキュメントにも利用されているため、Office365にも本脆弱性が有効に機能する。サイバー攻撃者の狙いはOffice365を利用しているユーザーだ。

マイクロソフトは本脆弱性を「CVE-2021-40444」として登録し、「保護ビュー」で開かれた場合には安全であるということと、緩和策として「ActiveXを無効にする」方法を公開しているが、パッチはまだ提供されていない。

■ActiveXの無効化では不十分との指摘

海外のセキュリティ研究者達は「ActiveX無効化だけでは不十分である」と呼びかけており、既にActiveXが無効化されていても本脆弱性を利用する方法が実証されている。

■保護ビューによる防御も不十分との指摘

マイクロソフトはMS365のWord等でインターネットからダウンロードしたオフィスドキュメントは「保護ビュー」で開かれるため、万が一ユーザーが本脆弱性を悪用するようなドキュメントをうっかり開いてしまったとしても「保護ビュー」で開かれている限り安全であると主張している。

・ユーザーによって無効化されるリスク

しかし、海外のセキュリティ研究者達は「保護ビュー」はユーザーによって「無効化」されることが多いと指摘している。

インターネットからダウンロードしたオフィスドキュメントを開こうとすると以下のような警告が画面上部に表示されることがある。このような状態で開かれているオフィスドキュメントは「保護ビュー」という「読み取り専用のモード」で開かれているため、悪意のあるスクリプト等の実行等を防いでくれる。

しかし、日常的にこのような警告を頻繁に目にしているようなユーザーは「編集を有効にする」ボタンを無意識にクリックしてしまうこともあるため、「編集を有効にする」ボタンをクリックした瞬間に「悪意のあるコード」が実行されてしまう。

・「保護ビュー」が作動しないリスク

セキュリティ研究者のRich Warren氏は「プレビューモード」を有効にしたWindowsエクスプローラで、本脆弱性を埋め込んだリッチテキスト形式のRTFファイルを「プレビュー」すると、ファイルを開かなくても即座に特定アプリケーションが実行出来ると実証している。

RTFファイルを「プレビュー」している時点ではMS365の「保護ビュー」がそもそも作動しない。

■対応策

現時点ではマイクロソフトは本脆弱性に関するパッチをリリースしていない。マイクロソフト自体が「既に本脆弱性が標的型攻撃で悪用されている」と公表しているため、情報システム部門は本脆弱性に十分警戒する必要があるだろう。

しかし、既に緩和策を迂回する方法も発見されているため、高度化した攻撃が仕掛けられるかもしれない。

情報システム部門は早急に本脆弱性の重要度を社内で議論し、パッチがリリースされ本脆弱性の脅威が排除されたと認識出来るまでの間は以下の三点の行動指針を社内に周知することを推奨する

・信頼できる人物以外からの添付ファイルを開かない

・「保護ビュー」で文書が開かれた際には「編集を有効にする」をクリックしない

・どうしても「編集を有効にする」をクリックする必要がある場合には、個別にWindows Defender等のスキャンを実施し安全であることが確認出来てから開くようにする

なお、「ActiveXの無効化」については上述した通り既に「ActiveXが無効化されていても悪用可能」であることが知れ渡っているので「過信しない」ことを推奨する。

また、もしSWGやProxyソリューションを導入している場合には、CVE-2021-40444が利用するURLへの通信をブロックしてしまうのも緩和策として有効だろう。

9/12(日) 6:02
https://news.yahoo.co.jp/byline/ohmototakashi/20210912-00257839
https://newsatcl-pctr.c.yimg.jp/r/iwiz-yn/rpr/ohmototakashi/00257839/title-1631377659938.jpeg
2ニューノーマルの名無しさん
垢版 |
2021/09/15(水) 06:32:14.05ID:cQQWLZC10
10億円を超える分に関しては
相続税を100%にしろよ

10億ありゃ充分だろ

子どもに相続できるから
ジジババが守銭奴のごとく金をためて若者に回さない
2021/09/15(水) 06:33:18.91ID:bDsKJx1x0
office2010を使い続けてます
4ニューノーマルの名無しさん
垢版 |
2021/09/15(水) 06:33:29.63ID:4C7f+wI90
365日だから0デイ攻撃ってけとか
やっぱり3歩進んで2歩さがるだな
5ニューノーマルの名無しさん
垢版 |
2021/09/15(水) 06:42:26.89ID:2bZOMbWT0
ActiveXって何だったんだ?
まともに使われているの見たことないんだが
2021/09/15(水) 06:45:18.39ID:7qGl2I1c0
パッチ出す気無さそうなんで死人出してるのに止めないワクチンとかと同じく
「仕様です」と言うお話なんだな…
2021/09/15(水) 06:47:00.71ID:ysobsx0l0
Office2010最強
2021/09/15(水) 06:53:33.46ID:jKhfn7IS0
一太郎
ロータス1-2-3 これなら安全
2021/09/15(水) 06:53:36.45ID:Zbyab3Zg0
skype
10ニューノーマルの名無しさん
垢版 |
2021/09/15(水) 07:01:17.09ID:wJcxDrgJ0
知ってた
365は勝手口ドアみたいなもの
11ニューノーマルの名無しさん
垢版 |
2021/09/15(水) 07:02:29.06ID:8RKpIFyq0
どうすんだよ
12ニューノーマルの名無しさん
垢版 |
2021/09/15(水) 07:04:26.84ID:X6oSeCzm0
よくオークションサイトなんかで格安のofficeとかあるけど、あれって使えるの?
13ニューノーマルの名無しさん
垢版 |
2021/09/15(水) 07:05:14.55ID:3lPFkqOL0
ゴミオフィス

誰使ってるの?
14ニューノーマルの名無しさん
垢版 |
2021/09/15(水) 07:05:41.69ID:3lPFkqOL0
>>10
365日鍵ゼロという意味やろ
15ニューノーマルの名無しさん
垢版 |
2021/09/15(水) 07:12:48.41ID:9jlywJcN0
問題の脆弱性をつくRTFをOutlookのプレビューで表示させても平気なのかね?
16ニューノーマルの名無しさん
垢版 |
2021/09/15(水) 07:14:17.04ID:9jlywJcN0
一応、脆弱性は今日のWindowsupdateで修正されている模様
17ニューノーマルの名無しさん
垢版 |
2021/09/15(水) 07:15:52.32ID:9jlywJcN0
HTMLやリッチテキストメール表示にIE使うメーラーはアウトだよね。
18ニューノーマルの名無しさん
垢版 |
2021/09/15(水) 07:17:16.04ID:O5sLAoe20
>>1
対策しろよクズ
2021/09/15(水) 07:20:07.47ID:MlQjAqel0
アクティブx無効、オンラインストレージ経由で外部から来たオフィすファイルは保護ビューを解かない、外部に送る時は可能な限りpdfで送る。
スクリプトつきファイルは相談して開ける。
まあパッチでるまで祭かな、
20ニューノーマルの名無しさん
垢版 |
2021/09/15(水) 07:22:42.48ID:9jlywJcN0
nimdaの再来になるかな。
2021/09/15(水) 07:25:00.63ID:dEp+q+bf0
office2019使ってる俺に死角はなかった
22ニューノーマルの名無しさん
垢版 |
2021/09/15(水) 07:25:37.23ID:MpFcgpL10
>>3
>>7
どうせ割れやろ
2021/09/15(水) 07:25:54.70ID:KXUP1k7Q0
「CVE-2021-40444が利用するURL」の情報てどこかに出てる?
24ニューノーマルの名無しさん
垢版 |
2021/09/15(水) 07:28:32.52ID:9jlywJcN0
エクスプローラでプレビューで実行=表示にIE使ってるメールソフトで添付ファイルプレビュー
RTF表示メールならメール本分プレビューまたは表示するだけでやられちゃう
2021/09/15(水) 07:29:12.93ID:9LIweevS0
ご査収ください。
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444
2021/09/15(水) 07:29:52.72ID:3PfstqnF0
添付ファイルなんてこないしなあ
27ニューノーマルの名無しさん
垢版 |
2021/09/15(水) 07:30:21.89ID:9oa9/1Ql0
IEなんて未だに使ってる香具師なんておりゅの?www
2021/09/15(水) 07:31:22.78ID:ibXkMjbd0
こりゃやべえクソワロタw
2021/09/15(水) 07:31:35.37ID:TmXfEpxi0
ワード2007使いのワイ最強(^_^;)
2021/09/15(水) 07:34:35.75ID:MlQjAqel0
自分の投稿だけど、
短文とリンクだけと
明らかに詐欺メールだわな、これ
31ニューノーマルの名無しさん
垢版 |
2021/09/15(水) 07:34:49.96ID:JKjLGgso0
そもそもMSHTMLなんていう危険な機能に通常の文書ファイルが対応しているのが間違いだろ

そういうのを埋め込めるファイルは拡張子が.docexeみたいなやつにして、文書に歯車が乗った怪しいデザインにしなくちゃ駄目だよ
32ニューノーマルの名無しさん
垢版 |
2021/09/15(水) 07:35:39.50ID:e24TBS/f0
脆弱性云々の前に
ダウンロード、アカウント管理がまずめんどくせえ

ライセンス認証済んだらほっといてくれ
33ニューノーマルの名無しさん
垢版 |
2021/09/15(水) 07:35:54.71ID:9jlywJcN0
WebメールをIEでみて脆弱性をつくHTMLメールがきてもアウトだよね。
34ニューノーマルの名無しさん
垢版 |
2021/09/15(水) 07:37:02.71ID:JKjLGgso0
>>33
役所はそれでやられそう
35ニューノーマルの名無しさん
垢版 |
2021/09/15(水) 07:38:36.16ID:jPJXak/M0
これだけですめばいいけど
windowsとieの統合化とかいう基地外じみたことをやってたから
365度セキュリテーホールみたいなもんよ
見つかっているのがこれというだけで
対応が必要なのは広範囲すぎてわからない
最悪の場合一年くらいパッチ祭り
最も良い場合だとms終了もありうる
2021/09/15(水) 07:38:53.74ID:MlQjAqel0
しかしエクスプローラーからのプレビュー禁止するいいチャンスだと思った。
これ、実際に開いているからファイルロックが入り、他で開こうとすると開けないってことがよくある。
大手を振って、セキュリティでござる!殿中でおじゃる!プレビュー機能排斥するぞ!えっへん誇らしい
やれるな、、(,嘔吐)
2021/09/15(水) 07:40:28.15ID:MlQjAqel0
>>31
バイオハザードマークのバッヂつけたりな。
スクリプト付きは全部統一。
38ニューノーマルの名無しさん
垢版 |
2021/09/15(水) 07:40:31.92ID:9jlywJcN0
nimdaの時

nimdaキター!→削除のためクリック(プレビューON)→Nimda感染
2021/09/15(水) 07:43:11.21ID:KHCFMe160
スプレッドシートに切り替えだな
40ニューノーマルの名無しさん
垢版 |
2021/09/15(水) 07:43:52.84ID:+DLYJkho0
対策
WIndowsを使わない。macOSなら安心
MS Officeを使わない。一太郎なら安心
インターネットに接続しない。PC-VANなら安心
2021/09/15(水) 07:44:02.92ID:MlQjAqel0
>>34
nhkや役所がエクセルで公開しているファイルもcsvになり、見映えが悪い!公開データならキチンと様式書式を整えなさいのクレーム対応の幻視
42ニューノーマルの名無しさん
垢版 |
2021/09/15(水) 07:44:42.01ID:8+RHhukk0
PCで運用してるプロバイダーメールをもう使わない方向で整理してるから
とりあえずうちは問題ないな
2021/09/15(水) 07:45:05.58ID:1ThlDSHV0
今日公開のパッチで対処した?
44ニューノーマルの名無しさん
垢版 |
2021/09/15(水) 07:48:53.48ID:9jlywJcN0
>>43
そうみたい
2021/09/15(水) 07:50:25.93ID:1ThlDSHV0
>>44
了解
46ニューノーマルの名無しさん
垢版 |
2021/09/15(水) 07:50:30.07ID:MlQjAqel0
>>1
しかしこの文書、保護ビューとax無効化を同じものと勘違いしているような?
2021/09/15(水) 07:57:00.39ID:lFtSxUwC0
>>12
使えるけどリスクは理解しておくこと
2021/09/15(水) 07:57:54.75ID:UIt3l3Sl0
>>23
これ気になるよなぁ
2021/09/15(水) 07:59:33.61ID:S2OyDddj0
これじゃあ見知らぬ人から来た怪しいファイルを簡単に開けないじゃん
2021/09/15(水) 08:03:00.05ID:Qj5l4b7N0
取引先が使うから
イヤイヤ使ってるけど
もっと他のテキストが広まってほしいわ。
wordは今まで使ったアプリの中で
一番クソ
2021/09/15(水) 08:09:53.48ID:UIt3l3Sl0
>>27
分かんないなら無理すんな
2021/09/15(水) 08:13:58.74ID:UIt3l3Sl0
>>46
当初の説明だと組み込まれたhtmlのスクリプトがインチキなActiveXを組み込む
そのActiveXがモジュール改竄したり、鍵にタッチしたり、ロック設定したりという事だった
ActiveXに見せかけて任意のコードを実行されます、とほぼ同義なのが実態だった
2021/09/15(水) 08:14:40.20ID:UIt3l3Sl0
>>50
ワードでなくてもレンダラーがIE依存だったら同じ話だぞ
2021/09/15(水) 08:27:19.66ID:fq8dj6gY0
Texにすれば安全なのに
55ニューノーマルの名無しさん
垢版 |
2021/09/15(水) 08:32:36.98ID:k5ZjC0yp0
こういう老人が理解不能なスレは全然伸びないな
5chがいかに高齢の政治的工作員だらけか分かるわ
2021/09/15(水) 08:34:53.22ID:ZXOOFi3v0
おれのoffice2000最強だな
2021/09/15(水) 08:39:49.59ID:qQ+3i0fW0
>>1
んなことより、先週のOFFICEアップデートでExcelを勝手に消すの、やめてくれん?(2019、365)
オンライン修復以上でないと復活しないし、プロダクトキー入れて再認証しないとならんし、面倒くさいったら
2021/09/15(水) 08:49:57.34ID:MlQjAqel0
>>52
つまり発症のトリガーとなるコードは、あくまでオフィスのアクティブXを読み込む部分で、別にブラウザ関係ない。
保護ビューで開いたときはロードせんが、ぽちると読み込まれ、ダウンロードでインジェクション。
破壊するフロンティア開拓。となるのかな。

なんにせよ保護ビューを無闇に押さない。がベターなんだが、プレビューは保護ビューなしで開くからインジェクションまでのフェイルセーフがないってことかな。
サンクス
2021/09/15(水) 08:50:45.07ID:YviYWezG0
RTFじゃなけりゃ平気?
60ニューノーマルの名無しさん
垢版 |
2021/09/15(水) 09:04:23.65ID:FATMCVGR0
頼むからこれを機にIEを消去してくれよ…

来年なくなるじゃんと思うかもしれんが
WIn10 LTSBではまだ2029年まで残るんだ…
2021/09/15(水) 09:13:41.94ID:ipbssgWU0
こういうのってダウンロード後の任意ファイルをターゲットとしたウィルススキャンで検出出来ないの?
62ニューノーマルの名無しさん
垢版 |
2021/09/15(水) 10:01:07.63ID:9jlywJcN0
>>61
ダウンロードされるファイルを検出できないとき無理
63ニューノーマルの名無しさん
垢版 |
2021/09/15(水) 12:03:18.73ID:9jlywJcN0
>>23
セキュリティソフトの機能でそういうサイトをブロックしてくれるものがある。
ウイルスバスターだとWebレピュテーション機能。
2021/09/15(水) 12:24:46.08ID:SJJraMcG0
確かにOfficeの警告ウザすぎるくらい出るわ
保護ビューの表示画面が酷過ぎて無効化せざるを得ない
65ニューノーマルの名無しさん
垢版 |
2021/09/15(水) 12:29:20.45ID:koHTKr4M0
>>15
アウトだから問題なのでは
プレビューで実行できる
プレビューする前にdefenderが検知できればいいけど
2021/09/15(水) 12:59:28.07ID:7m1vdsWQ0
365おもきし使ってるけどどうすんのコレ
2021/09/15(水) 13:03:19.51ID:mxz5sIhj0
でも今日のアップデートで直るんだろ?
2021/09/15(水) 15:26:28.05ID:5W0TwB6f0
>>64
印刷も出来ないからなぁ
6915
垢版 |
2021/09/15(水) 18:51:20.51ID:9jlywJcN0
>>65
Nimdaの時、Outlook(OutlookExpressてばない方)はHTMLメール表示にIEを使っていないと聞いたもんで。
時は経ってるし、RTFだとまた別な話かと思ったもので。
70ニューノーマルの名無しさん
垢版 |
2021/09/15(水) 19:13:09.48ID:2klrTNUK0
今もまだPrintSpoolerサービス止めてるわ
71ニューノーマルの名無しさん
垢版 |
2021/09/15(水) 20:22:54.13ID:QzBwCKqi0
>>51
馬鹿にしないで
称号持ってるし
72ニューノーマルの名無しさん
垢版 |
2021/09/15(水) 20:25:40.60ID:CKcbD/eq0
誓うよゼロデイ
73ニューノーマルの名無しさん
垢版 |
2021/09/15(水) 20:42:00.66ID:IC23/tKf0
いまだに7のおれ高見の見物
74ニューノーマルの名無しさん
垢版 |
2021/09/15(水) 20:44:07.32ID:wJcxDrgJ0
ウイルスにはワクチンでしょ?
MSBG-COV-2ワクチンでOffice365も安全安心だよ
2021/09/15(水) 21:00:52.53ID:/bm+VBXq0
敵365日360度より来たる
我に365度の構えあり
76ニューノーマルの名無しさん
垢版 |
2021/09/15(水) 21:29:43.20ID:9jlywJcN0
>>73
7も同じ脆弱性もってるよ。
2021/09/15(水) 22:53:35.56ID:mBSZBKLm0
>>58
ブラウザ関係あるがなw
IE11以降のブラウザはそもそもActiveXの概念がないんだから
2021/09/15(水) 22:53:59.87ID:mBSZBKLm0
>>73
対象は7〜10なんだが
2021/09/15(水) 22:57:25.20ID:mBSZBKLm0
>>60
IEを消去もクソも韓国台湾じゃ未だにIE11が圧倒的シェア
韓国なんかどこのサイトも隙あらばActiveXを導入させてくる
通販サイトだとか動的にページ生成してるサイトだとめちゃくちゃ多い
80ニューノーマルの名無しさん
垢版 |
2021/09/16(木) 01:42:56.22ID:X6J8NwLC0
>>79
へーへーへーへー
それは知らんかったわ

B2Bまでそんな感じだと
来年からどうすんだろうね
81ニューノーマルの名無しさん
垢版 |
2021/09/16(木) 04:05:43.79ID:GP7af5uM0
仕方ねーな、Winhttpサービス中継する形に置き換えるか。
2021/09/16(木) 04:28:11.94ID:cJ5Nb3H70
outlookのプレビュー機能を無効化してる我が社最強。
しかし保護ビューを無意識に解除するんで意味無しw
83ニューノーマルの名無しさん
垢版 |
2021/09/16(木) 06:32:49.23ID:X6J8NwLC0
>>81
最近のWebサービスはみんなJSありきだから
下手にプロキシすると
クロスドメイン問題で動かなくなるものが多いんじゃね?
84ニューノーマルの名無しさん
垢版 |
2021/09/16(木) 12:07:17.03ID:VUIAs2yD0
会社でwindowsupdate来て大変になってるんだが、これだろ
85ニューノーマルの名無しさん
垢版 |
2021/09/16(木) 12:11:04.27ID:9x3cllM10
>>73
そもそもお前のPCなんて誰も狙ってないから。
86ニューノーマルの名無しさん
垢版 |
2021/09/16(木) 12:14:16.61ID:yKEBEm990
>>84
どう大変なの?
87ニューノーマルの名無しさん
垢版 |
2021/09/16(木) 12:28:28.22ID:yKEBEm990
自動的に新IMEの入力モードがきりかわらないから?
2021/09/16(木) 12:39:34.72ID:VUIAs2yD0
>>86
このデータ600mbある
89ニューノーマルの名無しさん
垢版 |
2021/09/16(木) 13:22:28.87ID:yKEBEm990
>>88
なるほど、容量が大きくてネットワークがパンクしたとかプロバイダや回線事業者の容量制限にひっかかったのね。

ありがとう。
2021/09/16(木) 13:30:43.24ID:lNvEZWoK0
正しくないイメージ
やられたっぽい
biosに感染するからマジうざい
2021/09/16(木) 14:09:18.15ID:fNE6zoAh0
この春からWin10の
2021/09/16(木) 14:15:35.99ID:fNE6zoAh0
この春からWin10のPC使い始めたんだけど
ネットの読み込みがやたら時間かかることが多い

普通のブラウザもそうだしこの5chも専ブラで読んでるけど
スレのログを更新しようすると頻繁に待たされる(1回あたり15秒くらい)
それで1回読み込めば、連続でクリックしてる間はしばらくスムーズになる
ちょっと間が空くとまた同じ状態

セキュリティ機能が何か関係してるのだろうか
Windows標準のそのまま使ってるだがけっこうなストレスだ
2021/09/16(木) 14:34:32.50ID:v3cvfFg70
>>80
むしろB2Bのほうがレガシー等でIEのみ対応のシステムが多いだろ
2021/09/17(金) 12:26:25.00ID:YXZo1O260
ActiveX
IEの負の遺産
95ニューノーマルの名無しさん
垢版 |
2021/09/18(土) 03:11:18.13ID:D8yUklZ00
これイントラネットにばら撒く底辺続出しないの?


アップルのワームはアップル自身はどうしてんだ?謎すぐる
96ニューノーマルの名無しさん
垢版 |
2021/09/18(土) 03:13:52.42ID:D8yUklZ00
ハイ!フェリカリーダー死んだ!ついでに電子納税も死んだ!
マイナンバーも死んでしまうん?
97ニューノーマルの名無しさん
垢版 |
2021/09/18(土) 23:06:36.81ID:uKW2JjiA0
Microsoftが、今回の脆弱性をついた攻撃方法公開してなかったっけ?
98ニューノーマルの名無しさん
垢版 |
2021/09/19(日) 06:35:29.04ID:7My96svx0
あった。
具体的にどのように攻撃にもちいられたかは、これだな。
https://japan.zdnet.com/article/35176831/
99ニューノーマルの名無しさん
垢版 |
2021/09/20(月) 03:51:47.27ID:Zidmjtmo0
もう対応された?
100ニューノーマルの名無しさん
垢版 |
2021/09/20(月) 03:54:38.53ID:cqLVlLHH0
Macなら大丈夫?
■ このスレッドは過去ログ倉庫に格納されています