Talos、Microsoft MSHTML のゼロデイ脆弱性に対する保護プログラムを公開
Microsoft MSHTML のゼロデイ脆弱性のエクスプロイトを防ぐために、Cisco Talos は新しい SNORT® ルールを公開
しました。Microsoft 社はこの脆弱性が実際に頻繁にエクスプロイトされていると警告しています。
CVE-2021-40444 のエクスプロイトを検出、防止するために、SID 58120 〜 58129、Snort 3 SID 300049、および ClamAV シグネチャ Doc.Exploit.CVE_2012_40444-9891528-0 を導入することを推奨します。攻撃者が脆弱性のエクスプロイトに成功すると、標的のマシン上でリモートからコードを実行したり、マシンを完全に制御したりする危険性があります。Microsoft 社のアドバイザリによると、この脆弱性の概念実証コードが公開されているとのことです。
現時点では、Microsoft 社は公式にパッチを提供していませんが、システムレジストリを更新して Internet Explorer の ActiveX コントロールを無効にするよう推奨しています。さらに、インターネットから取得した Office ドキュメントについては、デフォルトで「保護ビュー」で開くようにする必要があります。ユーザは、保護ビューでドキュメントを開いていることを確認しなければなりません。もしくは、脆弱性を軽減するために Application Guard for Office を有効にする必要があります。
Microsoft 社は今週初めにこの脆弱性を公開し、「細工された Microsoft Office ドキュメントを使用して脆弱性をエクスプロイトしようとする標的型攻撃」だと警告しました。
Cisco Talos は脆弱性に対するエクスプロイトを試みるマルウェアのサンプルを確認しています。公開されているリポジトリにマルウェアがアップロードされたのは 8 月中旬です。また、この脆弱性がマルウェア攻撃で頻繁に使用されていること、今後も新たな攻撃者によって利用される可能性が高いことを示すアクティビティを確認しています。
この脆弱性を突くのは容易であるため武器として使用される危険性があります。また、マルウェア感染を開始するために悪意のある Office ドキュメントが多用されるようになったことで、攻撃者の間でこの脆弱性のエクスプロイトが急速に広まる可能性があります。
MSHTML は Internet Explorer Web ブラウザのレンダリングエンジンですが、多くの Office ドキュメントでも同じエンジンが使用されています。
米国サイバーセキュリティ インフラストラクチャ セキュリティ庁は火曜日にユーザにこの脆弱性を警告し、Microsoft 社が説明している回避策に従うよう推奨しています。Microsoft 社は現在綿密な調査を行っており、定例外のセキュリティ更新プログラムを公開するか、9 月 14 日に予定されている月例セキュリティ更新の一環としてパッチを適用する予定です。
以上は、Microsoft 社製品で見つかった一連のゼロデイ脆弱性に関する最新情報です。印刷スプーラサービスで見つかった「PrintNightmare」という脆弱性は頻繁にエクスプロイトされました。この脆弱性により、認証されたユーザが権限(管理者権限を含む)を昇格できる可能性があります。Microsoft Exchange Server の複数のゼロデイ脆弱性攻撃も、Hafnium によるものでした。
本稿は 2021 年 09 月 09 日に Talos Group
Tags:
