microsoft_l_05

1: 樽悶 ★ 2021/09/15(水) 06:30:13.42 ID:/zcpNSeZ9
9月7日にマイクロソフトが公表したOffice365等に対して有効なゼロデイ攻撃CVE-2021-40444が、当初予想されていた以上に危険であると海外のセキュリティ研究者の間で話題になっている。

■CVE-2021-40444とは?
Internet ExplorerブラウザのレンダリングエンジンであるMSHTMLに関する脆弱性であり、本脆弱性を悪用されると、サイバー攻撃者は遠隔からターゲットのWindows10等で任意のコードを実行可能になるという。

マイクロソフトは「既に本脆弱性が標的型攻撃で悪用されている」としている。

Internet Explorerブラウザはもう利用していないから大丈夫と思われるかもしれないが、MSHTMLはMicrosoft Officeドキュメントにも利用されているため、Office365にも本脆弱性が有効に機能する。サイバー攻撃者の狙いはOffice365を利用しているユーザーだ。

マイクロソフトは本脆弱性を「CVE-2021-40444」として登録し、「保護ビュー」で開かれた場合には安全であるということと、緩和策として「ActiveXを無効にする」方法を公開しているが、パッチはまだ提供されていない。

■ActiveXの無効化では不十分との指摘
海外のセキュリティ研究者達は「ActiveX無効化だけでは不十分である」と呼びかけており、既にActiveXが無効化されていても本脆弱性を利用する方法が実証されている。

■保護ビューによる防御も不十分との指摘
マイクロソフトはMS365のWord等でインターネットからダウンロードしたオフィスドキュメントは「保護ビュー」で開かれるため、万が一ユーザーが本脆弱性を悪用するようなドキュメントをうっかり開いてしまったとしても「保護ビュー」で開かれている限り安全であると主張している。

・ユーザーによって無効化されるリスク
しかし、海外のセキュリティ研究者達は「保護ビュー」はユーザーによって「無効化」されることが多いと指摘している。インターネットからダウンロードしたオフィスドキュメントを開こうとすると以下のような警告が画面上部に表示されることがある。このような状態で開かれているオフィスドキュメントは「保護ビュー」という「読み取り専用のモード」で開かれているため、悪意のあるスクリプト等の実行等を防いでくれる。しかし、日常的にこのような警告を頻繁に目にしているようなユーザーは「編集を有効にする」ボタンを無意識にクリックしてしまうこともあるため、「編集を有効にする」ボタンをクリックした瞬間に「悪意のあるコード」が実行されてしまう。

・「保護ビュー」が作動しないリスク
セキュリティ研究者のRich Warren氏は「プレビューモード」を有効にしたWindowsエクスプローラで、本脆弱性を埋め込んだリッチテキスト形式のRTFファイルを「プレビュー」すると、ファイルを開かなくても即座に特定アプリケーションが実行出来ると実証している。RTFファイルを「プレビュー」している時点ではMS365の「保護ビュー」がそもそも作動しない。

■対応策
現時点ではマイクロソフトは本脆弱性に関するパッチをリリースしていない。マイクロソフト自体が「既に本脆弱性が標的型攻撃で悪用されている」と公表しているため、情報システム部門は本脆弱性に十分警戒する必要があるだろう。しかし、既に緩和策を迂回する方法も発見されているため、高度化した攻撃が仕掛けられるかもしれない。情報システム部門は早急に本脆弱性の重要度を社内で議論し、パッチがリリースされ本脆弱性の脅威が排除されたと認識出来るまでの間は以下の三点の行動指針を社内に周知することを推奨する

・信頼できる人物以外からの添付ファイルを開かない
・「保護ビュー」で文書が開かれた際には「編集を有効にする」をクリックしない
・どうしても「編集を有効にする」をクリックする必要がある場合には、個別にWindows Defender等のスキャンを実施し安全であることが確認出来てから開くようにする

なお、「ActiveXの無効化」については上述した通り既に「ActiveXが無効化されていても悪用可能」であることが知れ渡っているので「過信しない」ことを推奨する。また、もしSWGやProxyソリューションを導入している場合には、CVE-2021-40444が利用するURLへの通信をブロックしてしまうのも緩和策として有効だろう。

(続きはこちら)

3: ニューノーマルの名無しさん 2021/09/15(水) 06:33:18.91 ID:bDsKJx1x0
office2010を使い続けてます


7: ニューノーマルの名無しさん 2021/09/15(水) 06:47:00.71 ID:ysobsx0l0
Office2010最強

4: ニューノーマルの名無しさん 2021/09/15(水) 06:33:29.63 ID:4C7f+wI90
365日だから0デイ攻撃ってけとか
やっぱり3歩進んで2歩さがるだな

11: ニューノーマルの名無しさん 2021/09/15(水) 07:02:29.06 ID:8RKpIFyq0
どうすんだよ

8: ニューノーマルの名無しさん 2021/09/15(水) 06:53:33.46 ID:jKhfn7IS0
一太郎
ロータス1-2-3 これなら安全

15: ニューノーマルの名無しさん 2021/09/15(水) 07:12:48.41 ID:9jlywJcN0
問題の脆弱性をつくRTFをOutlookのプレビューで表示させても平気なのかね?

65: ニューノーマルの名無しさん 2021/09/15(水) 12:29:20.45 ID:koHTKr4M0
>>15
アウトだから問題なのでは
プレビューで実行できる
プレビューする前にdefenderが検知できればいいけど

69: 15 2021/09/15(水) 18:51:20.51 ID:9jlywJcN0
>>65
Nimdaの時、Outlook(OutlookExpressてばない方)はHTMLメール表示にIEを使っていないと聞いたもんで。
時は経ってるし、RTFだとまた別な話かと思ったもので。

17: ニューノーマルの名無しさん 2021/09/15(水) 07:15:52.32 ID:9jlywJcN0
HTMLやリッチテキストメール表示にIE使うメーラーはアウトだよね。

19: ニューノーマルの名無しさん 2021/09/15(水) 07:20:07.47 ID:MlQjAqel0
アクティブx無効、オンラインストレージ経由で外部から来たオフィすファイルは保護ビューを解かない、外部に送る時は可能な限りpdfで送る。
スクリプトつきファイルは相談して開ける。
まあパッチでるまで祭かな、

20: ニューノーマルの名無しさん 2021/09/15(水) 07:22:42.48 ID:9jlywJcN0
nimdaの再来になるかな。

23: ニューノーマルの名無しさん 2021/09/15(水) 07:25:54.70 ID:KXUP1k7Q0
「CVE-2021-40444が利用するURL」の情報てどこかに出てる?

48: ニューノーマルの名無しさん 2021/09/15(水) 07:57:54.75 ID:UIt3l3Sl0
>>23
これ気になるよなぁ

63: ニューノーマルの名無しさん 2021/09/15(水) 12:03:18.73 ID:9jlywJcN0
>>23
セキュリティソフトの機能でそういうサイトをブロックしてくれるものがある。
ウイルスバスターだとWebレピュテーション機能。

24: ニューノーマルの名無しさん 2021/09/15(水) 07:28:32.52 ID:9jlywJcN0
エクスプローラでプレビューで実行=表示にIE使ってるメールソフトで添付ファイルプレビュー
RTF表示メールならメール本分プレビューまたは表示するだけでやられちゃう

26: ニューノーマルの名無しさん 2021/09/15(水) 07:29:52.72 ID:3PfstqnF0
添付ファイルなんてこないしなあ

31: ニューノーマルの名無しさん 2021/09/15(水) 07:34:49.96 ID:JKjLGgso0
そもそもMSHTMLなんていう危険な機能に通常の文書ファイルが対応しているのが間違いだろ

そういうのを埋め込めるファイルは拡張子が.docexeみたいなやつにして、文書に歯車が乗った怪しいデザインにしなくちゃ駄目だよ

37: ニューノーマルの名無しさん 2021/09/15(水) 07:40:28.15 ID:MlQjAqel0
>>31
バイオハザードマークのバッヂつけたりな。
スクリプト付きは全部統一。

33: ニューノーマルの名無しさん 2021/09/15(水) 07:35:54.71 ID:9jlywJcN0
WebメールをIEでみて脆弱性をつくHTMLメールがきてもアウトだよね。

34: ニューノーマルの名無しさん 2021/09/15(水) 07:37:02.71 ID:JKjLGgso0
>>33
役所はそれでやられそう

41: ニューノーマルの名無しさん 2021/09/15(水) 07:44:02.92 ID:MlQjAqel0
>>34
nhkや役所がエクセルで公開しているファイルもcsvになり、見映えが悪い!公開データならキチンと様式書式を整えなさいのクレーム対応の幻視

38: ニューノーマルの名無しさん 2021/09/15(水) 07:40:31.92 ID:9jlywJcN0
nimdaの時

nimdaキター!→削除のためクリック(プレビューON)→Nimda感染

39: ニューノーマルの名無しさん 2021/09/15(水) 07:43:11.21 ID:KHCFMe160
スプレッドシートに切り替えだな

40: ニューノーマルの名無しさん 2021/09/15(水) 07:43:52.84 ID:+DLYJkho0
対策
WIndowsを使わない。macOSなら安心
MS Officeを使わない。一太郎なら安心
インターネットに接続しない。PC-VANなら安心

42: ニューノーマルの名無しさん 2021/09/15(水) 07:44:42.01 ID:8+RHhukk0
PCで運用してるプロバイダーメールをもう使わない方向で整理してるから
とりあえずうちは問題ないな

43: ニューノーマルの名無しさん 2021/09/15(水) 07:45:05.58 ID:1ThlDSHV0
今日公開のパッチで対処した?

44: ニューノーマルの名無しさん 2021/09/15(水) 07:48:53.48 ID:9jlywJcN0
>>43
そうみたい

45: ニューノーマルの名無しさん 2021/09/15(水) 07:50:25.93 ID:1ThlDSHV0
>>44
了解

46: ニューノーマルの名無しさん 2021/09/15(水) 07:50:30.07 ID:MlQjAqel0
>>1
しかしこの文書、保護ビューとax無効化を同じものと勘違いしているような?

52: ニューノーマルの名無しさん 2021/09/15(水) 08:13:58.74 ID:UIt3l3Sl0
>>46
当初の説明だと組み込まれたhtmlのスクリプトがインチキなActiveXを組み込む
そのActiveXがモジュール改竄したり、鍵にタッチしたり、ロック設定したりという事だった
ActiveXに見せかけて任意のコードを実行されます、とほぼ同義なのが実態だった

58: ニューノーマルの名無しさん 2021/09/15(水) 08:49:57.34 ID:MlQjAqel0
>>52
つまり発症のトリガーとなるコードは、あくまでオフィスのアクティブXを読み込む部分で、別にブラウザ関係ない。
保護ビューで開いたときはロードせんが、ぽちると読み込まれ、ダウンロードでインジェクション。
破壊するフロンティア開拓。となるのかな。

なんにせよ保護ビューを無闇に押さない。がベターなんだが、プレビューは保護ビューなしで開くからインジェクションまでのフェイルセーフがないってことかな。
サンクス

77: ニューノーマルの名無しさん 2021/09/15(水) 22:53:35.56 ID:mBSZBKLm0
>>58
ブラウザ関係あるがなw
IE11以降のブラウザはそもそもActiveXの概念がないんだから

50: ニューノーマルの名無しさん 2021/09/15(水) 08:03:00.05 ID:Qj5l4b7N0
取引先が使うから
イヤイヤ使ってるけど
もっと他のテキストが広まってほしいわ。
wordは今まで使ったアプリの中で
一番クソ

53: ニューノーマルの名無しさん 2021/09/15(水) 08:14:40.20 ID:UIt3l3Sl0
>>50
ワードでなくてもレンダラーがIE依存だったら同じ話だぞ

49: ニューノーマルの名無しさん 2021/09/15(水) 07:59:33.61 ID:S2OyDddj0
これじゃあ見知らぬ人から来た怪しいファイルを簡単に開けないじゃん

54: ニューノーマルの名無しさん 2021/09/15(水) 08:27:19.66 ID:fq8dj6gY0
Texにすれば安全なのに

60: ニューノーマルの名無しさん 2021/09/15(水) 09:04:23.65 ID:FATMCVGR0
頼むからこれを機にIEを消去してくれよ…

来年なくなるじゃんと思うかもしれんが
WIn10 LTSBではまだ2029年まで残るんだ…

61: ニューノーマルの名無しさん 2021/09/15(水) 09:13:41.94 ID:ipbssgWU0
こういうのってダウンロード後の任意ファイルをターゲットとしたウィルススキャンで検出出来ないの?

62: ニューノーマルの名無しさん 2021/09/15(水) 10:01:07.63 ID:9jlywJcN0
>>61
ダウンロードされるファイルを検出できないとき無理

64: ニューノーマルの名無しさん 2021/09/15(水) 12:24:46.08 ID:SJJraMcG0
確かにOfficeの警告ウザすぎるくらい出るわ
保護ビューの表示画面が酷過ぎて無効化せざるを得ない

68: ニューノーマルの名無しさん 2021/09/15(水) 15:26:28.05 ID:5W0TwB6f0
>>64
印刷も出来ないからなぁ

73: ニューノーマルの名無しさん 2021/09/15(水) 20:42:00.66 ID:IC23/tKf0
いまだに7のおれ高見の見物

76: ニューノーマルの名無しさん 2021/09/15(水) 21:29:43.20 ID:9jlywJcN0
>>73
7も同じ脆弱性もってるよ。

78: ニューノーマルの名無しさん 2021/09/15(水) 22:53:59.87 ID:mBSZBKLm0
>>73
対象は7~10なんだが

70: ニューノーマルの名無しさん 2021/09/15(水) 19:13:09.48 ID:2klrTNUK0
今もまだPrintSpoolerサービス止めてるわ

67: ニューノーマルの名無しさん 2021/09/15(水) 13:03:19.51 ID:mxz5sIhj0
でも今日のアップデートで直るんだろ?

75: ニューノーマルの名無しさん 2021/09/15(水) 21:00:52.53 ID:/bm+VBXq0
敵365日360度より来たる
我に365度の構えあり