ゼロデイ脆弱性 Follina についてできること

Microsoft Office のゼロデイ脆弱性を悪用し PowerShell を実行

2022 年 5 月 27 日、Microsoft Office のゼロデイのリモートコード実行の脆弱性が Nao_Sec（1） によって発見され、研究者の Kevin Beaumont によって “Follina” と命名されました。この脆弱性により、認証されていないユーザーが、ダウンロードした Microsoft Office ファイルを悪用して、アクセス権を取得し、ターゲットシステムをリモートで制御できるようになります。攻撃者は、Office マクロが無効になっている場合でも、Microsoft Diagnostic Tool（MSDT）を介して悪意のある PowerShell コマンドを実行できます。

「このファイルは、Word のリモートテンプレート機能を使って、リモートの Web サーバーから HTML ファイルを取得し、ms-msdt MSProtocol URI スキームを使用してコードを読み込み、PowerShell を実行します。」と 研究者の Kevin Beaumont 氏は説明しています。 （2）

2022 年 5 月 30 日、Microsoft は、CVE-2022-30190を発行しました。 Microsoft Office バージョン 2013、2016、2019、2021、および Professional Plus エディションが影響を受けます。2022 年 6 月 1 日時点では、パッチはありません。

本ブログでは、マルウェアのサンプルを解析し、攻撃から守る方法をご紹介します。

CVE-2022-30190 を悪用する攻撃の概要

サンプルを解析したところ、攻撃アプローチは新しいものではないことがわかりました。脅威の作成者は、2021 年 9 月に CVE-2021-40444 を悪用したキャンペーン と同様の攻撃ベクトルを使用しました。どちらの攻撃も、悪意のある HTML ファイルにつながる関連ファイルの外部リンクを使用していました。

サイバー犯罪者は、フィッシングやソーシャルエンジニアリングを利用して、武器化した Microsoft ファイル（.docx）をターゲットとなる被害者に配信し、それを開かせるように仕向けます。このファイルには、外部 URL が含まれていて、JavaScript コードを持つ HTML を参照しています。

その JavaScript は、リモートでコードを実行できる ms-msdt スキームを持つ URL を参照しています。

攻撃を防ぐ方法

2022 年 5 月 30 日、Microsoft は、新たに公開された脆弱性を緩和するための回避策に関するガイダンスを公開しました（3）。現在のところ、MSDT URL プロトコルを無効にするのが最も容易なオプションのようですが、無効にした場合の影響は、まだ、明らかではありません。

しかし、業界をリードする Deep CDR（コンテンツの非武装化と再構築: Content Disarm and Reconstruction） 技術を搭載した OPSWAT MetaDefender を使用していれば、これらすべてのことを心配する必要はありません。有害ファイルに隠されたすべてのアクティブコンテンツは、ユーザーに届く前に Deep CDR によって無効化されるため、ネットワークとユーザーは攻撃から安全に保護されます。

ここでは、悪意のあるファイルが、Web アプリケーションにアップロードされたか、メールの添付ファイルとして受信されたかにかかわらず、Deep CDR がファイルを処理し、ユーザーが安全に使用できるファイルを生成する方法を紹介します。

有害なMicrosoft Wordファイルを無効化

悪意のある URL を含む .docx ファイルがメールやファイルのアップロードなどを介して組織のネットワークに入ると、MetaDefender は OPSWAT Metascan を使用して複数のマルウェア対策エンジンでファイルをスキャンし、OLE オブジェクト、ハイパーリンク、スクリプトなどの潜在的な脅威についてファイルを調べます。次に、Deep CDR の設定に応じて、埋め込まれているすべての脅威の削除や、再帰的な無害化を行います。以下のファイル処理の結果に示されているように、OLE オブジェクトが削除され、XML コンテンツが無害化されました。

.docx 文書内の HTML リンクは "blank" のリンクに置き換えられたため、悪意のあるリンクは含まれなくなりました。その結果、社内ユーザーがファイルを開いても、マルウェアが読み込まれて実行されることはありません。

処理されたファイルを OPSWAT Metascan と OPSWAT Sandbox でスキャンしたところ、脅威のないドキュメントであることが確認できます。

HTMLファイルのJavaScriptを無効化

仮に、ファイル内の URL を受け入れるように Deep CDR エンジンを設定した場合でも、保護することができます。Deep CDR は、ロードされた HTML ファイル内の悪意のある JavaScript を潜在的な脅威と見なして削除します。JavaScript がなければ、PowerShell コードをダウンロードして実行することはできません。ユーザーは、脅威がなく、再構築されたユーザビリティの維持したファイルを、使用できます。

“検知” に依存しない

この新しい悪用方法では、.docx ファイルには悪意のあるコードが含まれていないため、ネットワーク防御を回避することができ、マルウェアがリモートテンプレートからロードされるため、検出が困難です（2）。サイバー犯罪者は、マクロ、外部リンク、OLE オブジェクトなどの Microsoft Office の プログラムや機能を使って、脆弱性を悪用し、さまざまな攻撃ベクトルでマルウェアを配信し、起動します。ゼロデイ攻撃を防御し、真のゼロトラストを実現するためには、"検知"による防御のセキュリティモデルに依存することはできません。組織には、既知・未知のマルウェアから保護するための包括的な脅威防止ソリューションを必要です。

OPSWAT Deep CDR は、高度な回避型マルウェアやゼロデイ攻撃を防御するための、革新的で効果的なソリューションです。疑わしい実行可能な要素をすべて非武装化することで、攻撃を早い段階で阻止すると同時に、脅威のない安全なファイルを提供します。

OPSWATのDeep CDR テクノロジーの詳細をご覧ください。武器化された文書ファイルから組織を包括的に保護する方法については、お気軽にお問い合わせください。

参照

[1] https://twitter.com/nao_sec/status/1530196847679401984

[2] https://medium.com/m/global-identity?redirectUrl=https%3A%2F%2Fdoublepulsar.com%2Ffollina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e

[3] https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/