原文のブログはこちらからご覧頂けます。
非常に危険なやり口で Windows® ユーザーを狙う新しいゼロデイ攻撃が確認されています。
悪意のあるファイルを受け取った人は、Microsoft® Word ドキュメントなどの悪意のあるファイル上でマウスポインタを移動させたり、ファイルをプレビューしたりしただけで知らずに攻撃を進めてしまう可能性があります。
Microsoft 社は、パッチが完成するまで特定の機能を無効にするよう各組織に警告しています。このエクスプロイトについて、いくつか大切なことを詳しくご説明します。
診断ツールを狙う Office のゼロデイ
「Follina」と呼ばれるこの攻撃は、エンドユーザーの問題解決を支援するユーティリティ、Microsoft Windows Diagnostic Tool(MSDT)を標的とします。このツールを実行すれば、ユーザーがインターネットに接続できないといったような問題を自動的に解決できます。
そうした診断ツールを悪意のある Microsoft Word ドキュメントを使用して悪用する新しいゼロデイエクスプロイトについて、Huntress 社のセキュリティリサーチャーらが検証しています。悪意のあるファイルにはマクロが必要ないため、予想されるようなセキュリティの警告が出されることはありません。悪意のあるファイルが RTF 形式の場合、コードは Explorer のプレビュータブから実行され、ファイルを開く必要さえありません。ファイルをクリックしたり、プレビューホバーによってファイルをプレロードしたりすると、ペイロードが MSDT により実行されます。
Microsoft 社はCVE-2022-30190として最新の動向を追跡しており、この攻撃は重大な被害をもたらす可能性があるとしています。
「この脆弱性のエクスプロイトに成功した攻撃者は、呼び出し元のアプリケーションの権限で任意のコードを実行できます。攻撃者はその後、ユーザーの権限で許可されているコンテキストで、プログラムのインストール、データの表示・変更・削除、または新しいアカウントの作成を行うことができます。」
このような活動は、ランサムウェアなどのサイバー攻撃で用いられる主要な戦術である、組織内での水平移動のための事前準備として行われている可能性があります。
MSDT ゼロデイの軽減
CylanceOPTICS® のお客様は、次のリンク先のナレッジベースからルールをダウンロードすることで、保護されたシステムの攻撃パターンを検知できます。https://support.blackberry.com/community/s/article/98859
ルールを有効にするには、以下の手順に従ってください。:
- ブラウザーでhttps://protect.cylance.com/Optics#/settings/detectRules に移動します(製品ライセンスが必要)。
- [Import Rule(ルールのインポート)] をクリックします。
- [Browse(参照)] をクリックしてファイルを選ぶか、.json ファイルをウィンドウへドラッグアンドドロップします。
- [Import(インポート)] をクリックします。
- [Validate(確認)] をクリックします。
- [Publish(パブリッシュ)] をクリックします。
- こちらの手順に従い、デバイスのルールセットに割り当てます。
一方、Microsoft 社によると、MS Diagnostics Utility を無効にすることが現時点での回避策でありリスク軽減策とのことです。その方法は以下のとおりです。
- 管理者としてコマンドプロンプトを実行します。
- レジストリキーをバックアップするために、コマンド「reg export HKEY_CLASSES_ROOT\ms-msdt filename」を実行します。
- コマンド「reg delete HKEY_CLASSES_ROOT\ms-msdt /f」を実行します。
また、Microsoft 社がパッチを公開したときに回避策を元に戻すための以下の手順を参照できるよう、このブログのページをブックマークに登録しておくと良いでしょう。
パッチの適用後に MSDT を有効にするには、以下の手順に従ってください。
- 管理者としてコマンドプロンプトを実行します。
- レジストリキーを復元するために、コマンド「reg import filename」を実行します。「filename」はインポートする reg ファイルへのファイルパスです。
企業環境における別の軽減策としては、グループポリシーを利用してトラブルシューティングウィザードを無効にします。Benjamin Delpy氏(mimikatz の開発者および管理者)によると、次の GPO エントリを設定することでゼロデイ攻撃の起動を未然に防御できます。
- [コンピューターの構成] -> [管理用テンプレート] -> [システム] -> [トラブルシューティングと診断] -> [スクリプト化された診断]
- 「トラブルシューティング: トラブルシューティングウィザードにアクセスして実行することをユーザーに許可する」を「無効」に設定。
MSDT ゼロデイ、誕生から数週間が経過
Microsoft 社はセキュリティリサーチャー「crazyman」氏がこの脆弱性を数週間前に発見したことを認めていますが、同社は当初これを脅威ではないとしていました。しかし、2020 年 8 月に発表されたブラウンシュヴァイク工科大学のある学生の学士論文で、同じ URL スキームハンドラを使用した悪意のあるコードの実行が可能であることが指摘されました。
2022 年 5 月末にこのエクスプロイトが実際に広まっていることが確認されると、Microsoft 社は見解を変え、回避策のガイダンスを発表しました。
BlackBerry の脅威リサーチ担当副社長のIsmael Valenzuelaは、こうしたゼロデイ攻撃がさまざまな規模の組織にいくつかの重大な被害をもたらす可能性があるとし、以下のように述べています。
「Office ドキュメントから被害者のシステムにマルウェアをダウンロードして実行することができてしまうような脆弱性(あるいは、単なる組み込みのソフトウェア機能の場合もありますが)は、攻撃者が特に好みます。これまでも、攻撃者がそうした脆弱性をより大規模なキャンペーンの一環としてごく短期間で武器化してしまうのを見てきました。今回も例外ではありません。」
Valenzuela によると、この攻撃を利用してエクスプロイトを作成するためのすぐに使えるツールがいくつかあり、すでに多数のサンプルが出回っているとのことです。これは長期的なサイバーリスクを生む可能性があります。
「この脆弱性により、マクロが無効な場合でも Microsoft 社が提供するセキュリティ制限を回避することもできてしまうため、ユーザーの目につくような警告はないままマルウェアが実行されます。Microsoft 社がパッチを公開したとしても、多くの組織が場合によっては何年もの間 Office ソフトウェアのパッチの適用に頭を悩ませ続けてきたことから、脅威アクターはこの初期エントリベクトルを長期間使用することができ、問題はさらに深刻化します。」と Valenzuela は述べています。
以上の理由から、受信トレイに届く予期しない電子メールや Office ドキュメントのリスクについて、エンドユーザーに今すぐ知らせることが重要となります。攻撃を防ぐのに最も必要なのは警戒心です。悪意のあるドキュメント上でマウスポインタを移動させただけで攻撃が実行されることもある現在、ユーザーは疑わしい電子メールを開くだけで組織にリスクをもたらす可能性があることを知っておく必要があります。
BlackBerry によるサポート
BlackBerry のインシデント対応チームは、世界的に活躍するコンサルタントから構成され、ランサムウェアや持続的標的型攻撃(APT)など、さまざまなインシデントへの対応と封じ込めのサービスを専門としています。
弊社はグローバルコンサルティングチームを常に待機させており、24 時間サポートと現地支援を提供できます。
・お問い合わせ:https://www.blackberry.com/ja/jp/forms/enterprise/contact-us
・イベント/セミナー情報:https://www.blackberry.com/ja/jp/events/jp-events-tradeshows
・サイバーセキュリティチームによるコンサルティング: https://www.blackberry.com/ja/jp/services/blackberry-cybersecurity-consulting/overview
・BlackBerry Japan:https://www.blackberry.com/ja/jp
・FaceBook(日本語): https://www.facebook.com/watch/BlackBerryJPsec/
・Twitter(日本語): https://twitter.com/BlackBerryJPsec
・ LinkedIn: https://www.linkedin.com/company/blackberry/
・Youtube(日本語): https://www.youtube.com/channel/UCT2VHYwfUVC4V0AnkVZ2QIg/videos