Microsoft 社、ゼロデイ CVE-2021-40444 を報告。その対策は?
Microsoft 社は、 2021 年 9 月 7 日に、 Windows 10 でリモートコード実行( RCE )の脆弱性が発生したことを確認しました。 CVE-2021-40444 [1]として分類された脆弱性により、サイバー犯罪者は侵害したシステムのリモート制御を取得し、ゼロデイ攻撃を仕掛けることができます。
問題は、 Internet Explorer のブラウザレンダリングエンジンであるMSHTMLにあります。このエンジンは、 Microsoft Office ドキュメントでも使用されます。 CVE-2021-40444 は現在(本ブログ執筆時)、脅威エミュレーションフレームワークである Cobalt Strike ペイロードを配信するために利用されることが知られています。
EXPMON の研究者は、ツイートでこのゼロデイを初めて特定し、「 Office ユーザーは Office ファイルに十分に注意を払わなければならない」と述べています。 EXPMON は 9 月 5 日(日)に Microsoft 社にインシデントを報告しました。 Microsoft 社は、その後すぐにセキュリティアドバイザリをリリースし、調査している間の回避策を提案しました。 9 月 14 日、 Microsoft 社は脆弱性を修正しました[2]。
攻撃者が CVE-2021-40444 を悪用する方法
サイバー犯罪者は、 Microsoft Office ドキュメント(.docx)内に悪意のある ActiveX コントロールを作成する可能性があります。このドキュメントは、 MSHTML ブラウザレンダリングエンジンと、構築された Web ページにアクセスする OLEObject のホストとして機能します。

攻撃者は標的を欺き、このドキュメントを開かせると、MSHTML エンジンは ActiveX コントロールを用いて、難読化されたスクリプトを含む HTML ファイルを実行し、マルウェアのペイロードまたはリモートアクセスコントロールをダウンロードします。

Microsoft 社は、管理者権限を持つユーザーは、攻撃を受けやすいと述べています。
緩和策と回避策
Microsoft 社は、Internet ExplorerですべてのActiveXコントロールのインストールを無効にすると、現在の攻撃を軽減できるとアドバイスしました。これは、ローカルグループポリシーエディターを使用するレジストリを更新し、グループポリシーを設定することで行えます。無効にすると、新しいActiveXコントロールはインストールされず、以前のActiveXコントロールは引き続き実行されます。
Deep CDR が ゼロデイ攻撃を防御する方法
コンテンツの非武装化と再構築( CDR: Contents Disarm and Reconstruction )は、この脆弱性に関連するリスクを軽減するのに役立ちます。 OPSWAT Deep CDR は、すべてのファイルに悪意があるものとみなし、潜在的に悪意のあるファイルの要素 ( Contents ) を削除・無効化することで非武装化 ( Disarm ) し、ユーザビリティを維持したまま安全なコンテンツで再構築 ( Reconstruction ) します。完全に検出不能な( FUD )マルウェア、仮想環境の検出、難読化などの検出回避技術を搭載した標的型攻撃などの脅威、既知または未知の脅威を防ぐのに非常に効果的です。
今回のケースでは、 Deep CDR テクノロジーは、 OLEObject やActiveX などのすべての潜在的な脅威オブジェクトを、ドキュメントファイルから削除します。無害化(サニタイズ)後、悪意のある HTML リンクは、もうファイルには含まれていません。

MetaDefender Cloud によって検出された脅威 は、スキャンされ、無害化した動作内容(アクション)が、結果に表示されています。
無害化後、 OLEObject が削除されたことが結果に表示され、ファイルを安全に開くことができます。
OPSWAT Deep CDR について
業界をリードする OPSWAT Deep CDR テクノロジー は、複数階層のアーカイブ処理、ファイル再構築の精度、100種類以上のファイルタイプのサポートなど、卓越した機能を備えています。当社のテクノロジーは、ファイル内のどのコンテンツが、どのように無害化されたか、詳細なビューを提供するため、情報に基づいた選択と、ユースケースに合わせた構成を定義することができます。脅威が排除された安全なファイルを、ミリ秒以内に再構築するため、業務フローが中断されることはありません。
Deep CDRの詳細や、OPSWATが組織を保護する方法については、重要インフラ サイバーセキュリティの専門家にご相談ください。.
参考文献
[1] “Microsoft MSHTML Remote Code Execution Vulnerability”. 2021. Microsoft Security Response Center. https://msrc.microsoft.com/upd...
[2] “Microsoft patches actively exploited MSHTML zero-day RCE (CVE-2021-40444)”. September 14, 2021. Help Net Security. https://www.helpnetsecurity.co...

- ファイルアップロードの保護 – 10 のベストプラクティスで サイバー攻撃を防御
- MetaDefenderによる世界で最も危険なマルウェアEmotetの防御
- OPSWAT Expands Global Availability of Critical Infrastructure Protection
- OPSWAT Announces Expansion of Cybersecurity Training Program
- Avoiding storage data leaks and PII regulation noncompliance
- How OPSWAT Can Help Detect and Prevent the VMware WorkSpace ONE Access exploit (CVE-2020-4006)
- Protecting Critical Infrastructure from Advanced Cyberattacks
- MetaDefender Cloud Hash Reputation Database Now Exceeds 40 Billion
- OPSWAT Continues to Expand OESIS Framework with New Partners
- 6 Potential Security Gaps in File Transfer Process for Critical Infrastructure