ゼロデイ脆弱性：Microsoft Office ドキュメントを使用して Windows ユーザーを標的に

Microsoftは火曜日に、特別に作成されたMicrosoft Officeドキュメントを使用してMicrosoft Windowsに影響を与えるリモートコード実行の脆弱性を特定したセキュリティアドバイザリーを発表しました。

CVE-2021-40444（CVSSスコア：8.8）として追跡されるこのリモートコード実行の脆弱性は、Microsoft Windows版のInternet Explorer用の独自のブラウザエンジンであるMSHTML（別名Trident）に埋め込まれており、Windows Server 2008から2019およびWindows 8.1から10に影響を与えます。

「攻撃者は、ブラウザレンダリングエンジンをホストするMicrosoft Officeドキュメントで使用される悪意のあるActiveXコントロールを作成することができます。攻撃者は、その後、ユーザーに悪意のあるドキュメントを開くように説得する必要があります」と同社はセキュリティアドバイザリーで述べています。

「システム上でユーザー権限が少ないように構成されたアカウントのユーザーは、管理者ユーザー権限で操作するユーザーよりも影響を受けにくい可能性があります。」

同社によると、Microsoft Defender AntivirusとMicrosoft Defender for Endpointの両方が、既知の脆弱性に対する検出と保護を提供しています。顧客には、マルウェア対策製品を最新の状態に保つように勧めており、自動更新を利用している人は追加のアクションを取る必要はありません。

更新を管理する企業顧客は、検出ビルド1.349.22.0以上を選択し、自分の環境全体に展開する必要があります。Microsoft Defender for Endpointのアラートは「疑わしいCplファイルの実行」として表示されます。

Microsoftは、調査が完了次第、顧客を保護するために適切な措置を講じると述べており、これには顧客のニーズに応じて、月次リリースプロセスを通じてセキュリティ更新プログラムを提供することや、サイクル外のセキュリティ更新プログラムを提供することが含まれる可能性があります。

レドモンドの巨人は、Microsoft Threat Intelligence Center（MSTIC）のRick Cole、MandiantのDhanesh Kizhakkinan、Bryce Abdo、Genwei Jiang、EXPMONのHaifei Liに、この脆弱性を発見したことを称賛しました。

Mandiantの脅威アナリストであるAndrew Thompsonは、「ポストエクスプロイト行動に焦点を当てた堅牢な検出は、ゼロデイの悪用を含む侵入を検出するための安全ネットです」と述べました。

EXPMONはツイートで、Microsoft Officeユーザーを標的にした「高度に洗練されたゼロデイ攻撃」を検出したと述べました。

「最新のOffice 2019/Office 365をWindows 10（典型的なユーザー環境）で攻撃を再現しました。影響を受けるすべてのバージョンについては、Microsoftのセキュリティアドバイザリーをお読みください。このエクスプロイトは論理的欠陥を利用しているため、悪用は完全に信頼でき（危険です）」と同社はツイートしました。

一方、Microsoftは、攻撃の性質、ターゲット、またはこのゼロデイ脆弱性を悪用している攻撃者に関する情報を公表していません。

緩和策と回避策に関して、Microsoftは、すべてのサイトに対してInternet ExplorerでのすべてのActiveXコントロールのインストールを無効にすることを提案しており、これはレジストリを更新することで実行できます。

「以前にインストールされたActiveXコントロールは引き続き実行されますが、この脆弱性を露呈することはありません」とアドバイザリーは述べています。

「レジストリエディタを誤って使用すると、オペレーティングシステムを再インストールする必要がある深刻な問題を引き起こす可能性があります。Microsoftは、レジストリエディタを誤って使用した結果生じる問題を解決できることを保証できません。」

個々のシステムでActiveXコントロールを無効にするには：

2. Internet ExplorerでのすべてのゾーンにおけるActiveXコントロールのインストールを無効にするには、以下をテキストファイルに貼り付け、.regファイル拡張子で保存します：

| | Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
“1001”=dword:00000003
“1004”=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
“1001”=dword:00000003
“1004”=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
“1001”=dword:00000003
“1004”=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
“1001”=dword:00000003
“1004”=dword:00000003 | |

2. .regファイルをダブルクリックして、ポリシーハイブに適用します。

3. 新しい構成が適用されるようにシステムを再起動します。

この回避策は、64ビットおよび32ビットプロセスのすべてのインターネットゾーンに対してURLACTION_DOWNLOAD_SIGNED_ACTIVEX (0x1001)およびURLACTION_DOWNLOAD_UNSIGNED_ACTIVEX (0x1004)をDISABLED (3)に設定します。

新しいActiveXコントロールはインストールされず、以前にインストールされたActiveXコントロールは引き続き実行されます。