btzgrp
  • バーチャル面接は怖くない - TechRepublic
Headlines

Follina は Microsoft Office を悪用してリモートコードを実行します - TechRepublic

05 mins
Follina は Microsoft Office を悪用してリモートコードを実行します - TechRepublic
Microsoft Office のロゴが表示されているラップトップ コンピューター。
画像: Adob​​e Stock

CVE-2022-30190(別名「Follina」)は、Microsoft Office に影響を与えるリモート コード実行(RCE)の脆弱性で、2022 年 5 月 27 日に報告されました。

Follina の脆弱性は攻撃者によってどのように悪用されるのでしょうか?

その流れは次のようになります。

  • 攻撃者によって作成された Microsoft Office .DOC ファイルがターゲットに送信されます。
  • .DOC ファイルは、難読化された JavaScript コードを含む HTML ファイルにつながる HTTPS: リンクを参照します。
  • JavaScript コードは、通常の HTTPS: 識別子ではなく、識別子 MS-MSDT: を持つ別のリンクを参照します。
  • Windows オペレーティング システムは、Microsoft サポート診断ツール (MSDT) を開き、提供されたリンクに含まれるコードを実行します。
  • 標的のシステムで実行されるコードによっては、攻撃者がさらなる侵害を促進したり、影響を受けるシステムを制御したりする可能性があります。

したがって、悪意のある .DOC ファイルまたはそのファイルへのリンクを含むフィッシング メールをターゲットに送信することで、Follina の脆弱性を簡単に悪用できます。

Follina はどれくらい危険ですか?

Immersive Labs のサイバーセキュリティ エンジニアである Nikolas Cemerikic 氏は次のように述べています。

Follina の特徴は、このエクスプロイトが Office マクロを利用しないことです。そのため、マクロが完全に無効化されている環境でも動作します。このエクスプロイトが発動するために必要なのは、ユーザーが Word 文書を開いて表示するか、Windows エクスプローラーのプレビュー ウィンドウで文書のプレビューを表示することだけです。後者の場合、Word を完全に起動する必要がないため、実質的にはゼロクリック攻撃となります。

Cemerikic氏はさらに、「この脆弱性はMicrosoft WordやOutlookに特有のものではありません。これまでに記録されているこの脆弱性の悪用事例はMicrosoft WordとOutlookのみで発生していますが、理論上はoleObject関係を扱うあらゆるOffice製品が影響を受けます。oleObject関係はWordに限ったものではないため、将来的には他のOfficeアプリケーションでもこの脆弱性が悪用される可能性があります」と述べています。

また、Huntress氏によると、Windowsエクスプローラーのプレビューウィンドウに表示される特定の.RTFファイルを作成することで、ファイルを開かなくても脆弱性を悪用することが可能です。これにより、この脆弱性はさらに危険になります。

参照: モバイルデバイスのセキュリティポリシー(TechRepublic Premium)

2022年3月以降に発生した攻撃 

Sekoia は、Follina の脆弱性を悪用した攻撃の事例が複数報告されており、最初の攻撃はおそらく中国の APT 脅威アクターによって実行されたものである。

ネパールの企業や個人を標的とした文書がいくつか発見された。

「CSAFP'S_GUIDANCE_RE_NATIONAL_AND_LOCAL_ELECTION_2022_NLE.docx」というタイトルの別の文書は、フィリピン軍を装い、複数の軍部門を標的にしています(図A)。

図A

Follina の脆弱性を示す悪意のある文書。
画像: TechRepublic。フィリピン軍を装った悪意のあるファイルが他の軍の部隊に送信された。

Sekoiaはさらに、調査時点でまだ有効なペイロードを1つしか取得できなかったと報告しています。このペイロードはエンコードされたシェルコードをダウンロードし、デコードするとCobalt Strikeビーコンのように見えました。シェルコードのダウンロード元IPアドレスは、SekoiaによってPlugX C2サーバーとして認識されています。PlugX(別名KorPlug)は、複数の中国のAPT攻撃者が使用するトロイの木馬型マルウェアです。

さらに、Proofpoint は Twitter で、中国の脅威アクター TA413 が、中央チベット政権の「女性エンパワーメント デスク」を装った攻撃キャンペーンで悪意のある Word 文書を含む Zip アーカイブ ファイルを使用して、Follina の脆弱性を悪用しているのが確認されたと報告しています (図 B)。

図B

Follina を悪用する中国のサイバー攻撃者のツイート。
画像: Twitter。中国の脅威アクターTA413は、チベットの「女性エンパワーメントデスク」を装った文書を使ってFollinaの脆弱性を悪用した。

参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)

脆弱性を検出し、保護する方法

脆弱性の悪用は、$( 文字列シーケンスを含む IT_BrowseForFile 引数を使用して msdt.exe 正規のバイナリを実行すると検出されます。

使用できる別の検出は、conhost.exe の子プロセスとそれに続くペイロード プロセスによる sdiagnhost.exe の生成を検出することです。

Microsoft は、レジストリで直接 MSDT URL プロトコルを無効にする回避策のガイダンスを発行しました。

レジストリ内の「トラブルシューティング ウィザード」を無効にすることも推奨されます。

セキュリティベンダーとウイルス対策ソフトウェアも Follina 脆弱性の検出機能の向上に積極的に取り組んでいるため、すべてのセキュリティ製品とウイルス対策ソリューションを最新の状態に保つことをお勧めします。

さらに、通常とは異なる経路(例えば、不明な送信元からのメールや不明なインスタントメッセンジャーのメッセージなど)で受信した.DOC/.DOCXファイルは、開いたり、プレビューしたりしないことをお勧めします。また、受信した.RTF文書も開いたり、プレビューしたりしないことをお勧めします。

開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。

Tagged:

Related News