エクスプロイト&脆弱性
Microsoft製品のゼロデイ脆弱性「Follina(CVE-2022-30190)」が発見される
米国時間2022年5月30日、マイクロソフトはMicrosoft Support Diagnostic Tool に関する脆弱性(CVE-2022-30190)を公表しました。この脆弱性は、WordなどOffice文書ファイルにおけるリモートテンプレート機能が悪用されることで、MSDT経由で任意のコードの実行が可能となるものです。
【追記情報:2022年6月15日(木)】Microsoftによる修正パッチ公開に伴い、「■被害に遭わないためには&トレンドマイクロの対策」にその旨を追記しました。
【追記情報:2022年6月2日(木)】トレンドマイクロ製品による保護及び調査:Trend Micro Cloud One – Network SecurityおよびTippingPointの検出情報を追加しました。
米国時間2022年5月30日、マイクロソフトはMicrosoft Support Diagnostic Tool (MSDT)に関する脆弱性(CVE-2022-30190)を公表しました。この脆弱性は、WordなどOffice文書ファイルにおけるリモートテンプレート機能が悪用されることで、MSDT経由で任意のコードの実行が可能となるものであり、既に「Follina」という通称も命名されています。この脆弱性を悪用することにより攻撃者は、ユーザ権限で不正なプログラムのインストールや、データの閲覧/削除/変更、アカウント新規作成などを行える可能性があります。
事の発端は日本のサイバーセキュリティリサーチチームである「nao_sec」が5月27日に行ったツイートでした。このツイートは、「ベラルーシからサブミットされたms-msdtスキームを悪用してPowerShellコードを実行する不正文書ファイル」について触れたものでした。この不正文書ファイルではまず、リモートテンプレート機能を悪用して外部のサーバからHTMLファイルを取得します。そしてHTMLファイルからms-msdtスキームを使用していくつかのコードを読み込み、最終的にPowerShellにより任意のスクリプトを実行させます。複数のリサーチャーがこの不正な文書ファイルについて確認し、新たなゼロデイ脆弱性「Follina」と命名された後、マイクロソフトは「CVE-2022-30190」としてMicrosoft Security Response Centerブログで情報を公開しました。
この脆弱性を利用する攻撃のシナリオとしては、下図のようにメールやWeb経由で不正ファイルを攻撃対象者に送り、開かせることにより、攻撃対象者のローカル環境でPowerShellを実行することが考えられます。
図1:脆弱性Follinaの悪用シナリオの例
Microsoft Office製品では、インターネットや添付ファイルなどの安全でない可能性のある場所のファイルについては、既定で「保護ビュー」によって読み取り専用として開かれるため、すぐに本脆弱性を突いた攻撃を受けることはありません。ただし、「保護ビュー」を解除することで攻撃が実行されるため、不用意に解除しないことを推奨いたします。また、パスワード付き圧縮ファイル内から解凍されたファイルについては、入手ゾーンが設定されていないため、「保護ビュー」が効かず、即座に実行される可能性があります。同様にRTF(Rich Text Format)形式のファイルでは、「保護ビュー」が適用されないため、ファイルを開くと即座に感染する可能性があります。
nao_secが最初に報じた不正文書ファイルが実際の攻撃で使用されたものであるのか、PoC(概念実証)的なものであるのかはわかっていませんが、既にこの脆弱性が悪用可能な状態にあることは確かです。このような脆弱性の存在は一般に公表されることにより、広範囲で悪用が見られるようになることが多いため、注意が必要です。トレンドマイクロ・リサーチでは、本脆弱性およびその悪用方法について引き続き分析を行っており、詳細な情報が得られ次第、本ブログなどで情報発信してまいります。
被害に遭わないためには
米国時間6月14日、Microsoftの6月の月例パッチにて本脆弱性の修正プログラムが利用可能になりました。法人組織は、出来る限り迅速に適用することを推奨します。(6月15日:追記および修正)
回避策
基本的な回避策としては、不用意に不審な添付ファイルなどを開かないことが重要ですが、それに加えて前述のとおり、「保護ビュー」を解除しないことを推奨します。
また、マイクロソフトでは本脆弱性を突いた攻撃の回避策として、MSDTプロトコルの無効化を案内しています。
1.管理者権限でコマンドプロンプトを起動
2.レジストリをバックアップのため、以下のコマンドを実行
● reg export HKEY_CLASSES_ROOT\ms-msdt <ファイル名>
3.MSDTプロトコルの無効化のため、以下のコマンドを実行
● reg delete HKEY_CLASSES_ROOT\ms-msdt /f
※レジストリを元に戻したい場合には、バックアップしたレジストリから元の状態に復元します。
1.管理者権限でコマンドプロンプトを起動
2.バックアップしたレジストリを復元するため、以下のコマンドを実行
● reg import <ファイル名>
トレンドマイクロ製品による保護及び調査
パターンファイルでのマルウェア検出
トレンドマイクロ製品では本脆弱性を悪用するマルウェアとして、以下を検出するパターンファイルをリリースしています。
「Trojan.W97M.CVE202230190.A」(Wordファイル)
Trend Micro Vision One
Trend Micro Vision Oneをご利用のお客様は、Trend Micro Apex Oneなどのエンドポイント製品と連携したXDR機能を活用することができます。IoC(Indicator of Compromise、侵害の痕跡)を用いて、この脆弱性を悪用した潜在的な活動があったかどうかを特定して調査します。
- Observed Attack Techniques(OAT)による調査
Trend Micro Apex Oneなどのエンドポイント製品と共にTrend Micro Vision Oneをご利用のお客様の環境においては、Observed Attack Techniques(OAT)機能によって、Microsoft Office製品における本脆弱性を悪用するマルウェアの不審な挙動を確認することができます。
図2:Observed Attack Techniques機能の画面例
- Searchクエリによる調査
OAT機能に加えて、Search機能により以下のクエリを実行することで、エンドポイントアクティビティデータの中から悪意のある挙動の痕跡を検索することができます。
検索方法:エンドポイントアクティビティデータ
eventSubId: 101 AND parentFilePath: winword.exe AND processName:msdt.exe AND processCmd: (taskkill OR msdt.exe OR PCWDiagnostic OR ms-msdt)
図3:Search機能の画面例
Search機能におけるクエリの構文の詳細についてはオンラインヘルプを参照してください。
■Trend Micro Cloud One – Network Security and TippingPoint ThreatDV Malware Detection Filters
Trend Micro Cloud One – Network SecurityまたはTippingPointをご利用のお客様は、以下のフィルタによって本脆弱性を突いた攻撃を検知/ブロックすることができます。
41369: Microsoft Windows Support Diagnostic Tool Code Execution Vulnerability (Follina) – (追記:2022/06/02)
トレンドマイクロでは、引き続き本脆弱性を悪用した攻撃に対する監視と調査を行っておりますので、追加の情報がある場合は改めてお知らせいたします。