エクスプロイト&脆弱性
Windowsのゼロデイ脆弱性(CVE-2021-40444)、既にOffice文書による攻撃も確認
米国時間9月7日、Microsoft社はWindowsの複数のバージョンに影響を及ぼす新たなゼロデイ脆弱性の存在を明らかにしました。既にこの脆弱性(CVE-2021-40444)を悪用した攻撃として、不正なOffice 365ドキュメントを介した攻撃が確認されています。
米国時間9月7日、Microsoft社はWindowsの複数のバージョンに影響を及ぼす新たなゼロデイ脆弱性の存在を明らかにしました。既にこの脆弱性(CVE-2021-40444)を悪用した攻撃として、不正なOffice 365ドキュメントを介した攻撃が確認されています。ただし、この攻撃が実行されるためにはユーザが「ドキュメントファイルを開く」ことが必要となります。なおMicrosoft社は、インターネットからダウンロードしたOfficeドキュメントの場合はデフォルトで「保護ビュー」、また環境によっては「Application Guard」機能により守られるため、今回の攻撃を防ぐことができる、と説明しています。しかし、保護ビューを解除した場合、またはApplication Guardが有効になっていない場合には、脆弱性が悪用され影響を受けた端末上で不正なファイルがダウンロードおよび実行されることになります。現在、この脆弱性を利用して商用のペネトレーションテストツール「Cobalt Strike」のペイロードを侵入させる攻撃を確認しています。この記事では、この脆弱性を悪用した攻撃手口および対策についてご紹介します。
■トレンドマイクロが入手した検体の解析結果
トレンドマイクロでは、この脆弱性を悪用した不正なドキュメントの検体を複数入手しました。これらのドキュメントはすべて、パッケージ内のファイル「document.xml.rels」に以下のコードを含んでいます。
図1:XML関係のコード
「side.html」という名称のファイルをダウンロードするURL(既に削除済み)に注目してください。このファイルには難読化されたJavaScriptが含まれており、図2の画像は難読化されたコードの一部を示しています。
図2:難読化されたJavaScriptコード
このコードにはいくつかの動作が見られます。まずファイル「.CAB」をダウンロードし、そのファイルから.DLLファイルを抽出し、その上でパストラバーサル攻撃によりファイル「championship.inf」を実行します。
そして最終的には、以下のような形でファイル「championship.inf」のペイロードが実行されます。
図3:ペイロードの実行に関するプロパティ
このペイロードはCobalt Strike Beacon(Cobalt Strikeのリモートアクセスツール(RAT))であり、トレンドマイクロでは「Backdoor.Win64.COBEACON.OSLJAU」として検出されます。Cobalt Strikeを利用した攻撃の事例でよく見られるように、これにより攻撃者は感染端末の遠隔制御が可能になります。なお、この事例では、脆弱性を悪用する不正なOfficeファイルは「Trojan.W97M.CVE202140444.A」、不正な「.CAB」ファイルは「Trojan.Win64.COBEACON.SUZ」として検出されます。
■対策
先述のとおり、Microsoft 社はまだ正式な修正パッチをリリースしていません。このため、この攻撃の被害を防ぐには「信頼できない送信元からのファイルを開かないようにする」という一般的な対策を心がける必要があります。今回のケースでは、ユーザが実際に不正なファイルを開くという介在が必要となるため、この対策を心がけるだけでも、この脅威のリスクを軽減することができるでしょう。
脆弱性を悪用する文書ファイルがOfficeの保護ビューで開かれた場合には影響を受けません。インターネットから入手したファイルなどは保護ビューで開かれます。ただし「編集を有効にする」を選択し保護ビューを解除した場合には脆弱性の影響を受けることになります。少なくともこの脆弱性が修正されるまで、保護ビューの表示があった場合には安易に解除しないでください。
図4:Officeの保護ビュー機能の表示例
Microsoftが公開したSecurity Update Guideでは、この脆弱性の回避策(ワークアラウンド)として、「Internet Explorerで全てのActiveXコントロールのインストールを無効化する」という対策を公開しています。セキュリティ担当者は必要に応じてこちらを参照し、組織での対策を見直すようにしてください。
Microsoft- Microsoft MSHTML Remote Code Execution Vulnerability CVE-2021-40444
■ 侵入の痕跡(Indicators of Compromise、IoC)
今回の記事に関する侵入の痕跡は、こちらを参照してください。
参考記事:
- 「Remote Code Execution 0-Day (CVE-2021-40444) Hits Windows, Triggered Via Office Docs」
by Trend Micro
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)