Microsoft 社、ゼロデイ CVE-2021-40444 を報告。その対策は?

Microsoft 社は、 2021 年 9 月 7 日に、 Windows 10 でリモートコード実行( RCE )の脆弱性が発生したことを確認しました。 CVE-2021-40444 [1]として分類された脆弱性により、サイバー犯罪者は侵害したシステムのリモート制御を取得し、ゼロデイ攻撃を仕掛けることができます。

問題は、 Internet Explorer のブラウザレンダリングエンジンであるMSHTMLにあります。このエンジンは、 Microsoft Office ドキュメントでも使用されます。 CVE-2021-40444 は現在(本ブログ執筆時)、脅威エミュレーションフレームワークである Cobalt Strike ペイロードを配信するために利用されることが知られています。

EXPMON の研究者は、ツイートでこのゼロデイを初めて特定し、「 Office ユーザーは Office ファイルに十分に注意を払わなければならない」と述べています。 EXPMON は 9 月 5 日(日)に Microsoft 社にインシデントを報告しました。 Microsoft 社は、その後すぐにセキュリティアドバイザリをリリースし、調査している間の回避策を提案しました。 9 月 14 日、 Microsoft 社は脆弱性を修正しました[2]。

攻撃者が CVE-2021-40444 を悪用する方法

サイバー犯罪者は、 Microsoft Office ドキュメント(.docx)内に悪意のある ActiveX コントロールを作成する可能性があります。このドキュメントは、 MSHTML ブラウザレンダリングエンジンと、構築された Web ページにアクセスする OLEObject のホストとして機能します。

Microsoft WordファイルのOLEObject
図1:Microsoft WordファイルのOLEObject


攻撃者は標的を欺き、このドキュメントを開かせると、MSHTML エンジンは ActiveX コントロールを用いて、難読化されたスクリプトを含む HTML ファイルを実行し、マルウェアのペイロードまたはリモートアクセスコントロールをダウンロードします。

MSHTML は、難読化されたスクリプトを含む HTMLファイルの実行を起動
図2: MSHTML は、難読化されたスクリプトを含む HTMLファイルの実行を起動


Microsoft 社は、管理者権限を持つユーザーは、攻撃を受けやすいと述べています。

緩和策と回避策

Microsoft 社は、Internet ExplorerですべてのActiveXコントロールのインストールを無効にすると、現在の攻撃を軽減できるとアドバイスしました。これは、ローカルグループポリシーエディターを使用するレジストリを更新し、グループポリシーを設定することで行えます。無効にすると、新しいActiveXコントロールはインストールされず、以前のActiveXコントロールは引き続き実行されます。

Deep CDR が ゼロデイ攻撃を防御する方法

コンテンツの非武装化と再構築( CDR: Contents Disarm and Reconstruction )は、この脆弱性に関連するリスクを軽減するのに役立ちます。 OPSWAT Deep CDR は、すべてのファイルに悪意があるものとみなし、潜在的に悪意のあるファイルの要素 ( Contents ) を削除・無効化することで非武装化 ( Disarm ) し、ユーザビリティを維持したまま安全なコンテンツで再構築 ( Reconstruction ) します。完全に検出不能な( FUD )マルウェア、仮想環境の検出、難読化などの検出回避技術を搭載した標的型攻撃などの脅威、既知または未知の脅威を防ぐのに非常に効果的です。

今回のケースでは、 Deep CDR テクノロジーは、 OLEObject やActiveX などのすべての潜在的な脅威オブジェクトを、ドキュメントファイルから削除します。無害化(サニタイズ)後、悪意のある HTML リンクは、もうファイルには含まれていません。

Deep CDR は潜在的な脅威オブジェクトを削除
図3: Deep CDR は潜在的な脅威オブジェクトを削除


MetaDefender Cloud によって検出された脅威 は、スキャンされ、無害化した動作内容(アクション)が、結果に表示されています。

MetaDefender Cloud によって検出された脅威
図4: MetaDefender Cloud によって検出された脅威


無害化後、 OLEObject が削除されたことが結果に表示され、ファイルを安全に開くことができます。

MetaDefender Cloudで無害化されたファイルの
図5: MetaDefender Cloudで無害化されたファイルの


OPSWAT Deep CDR について

業界をリードする OPSWAT Deep CDR テクノロジー は、複数階層のアーカイブ処理、ファイル再構築の精度、100種類以上のファイルタイプのサポートなど、卓越した機能を備えています。当社のテクノロジーは、ファイル内のどのコンテンツが、どのように無害化されたか、詳細なビューを提供するため、情報に基づいた選択と、ユースケースに合わせた構成を定義することができます。脅威が排除された安全なファイルを、ミリ秒以内に再構築するため、業務フローが中断されることはありません。

Deep CDRの詳細や、OPSWATが組織を保護する方法については、重要インフラ サイバーセキュリティの専門家にご相談ください。.

参考文献

[1] “Microsoft MSHTML Remote Code Execution Vulnerability”. 2021. Microsoft Security Response Center. https://msrc.microsoft.com/upd...

[2] “Microsoft patches actively exploited MSHTML zero-day RCE (CVE-2021-40444)”. September 14, 2021. Help Net Security. https://www.helpnetsecurity.co...

Sign up for Blog updates
Get information and insight from the leaders in advanced threat prevention.