脅威リサーチ

Microsoft MSHTML のリモートコード実行の脆弱性が悪用される (CVE-2021-40444)

投稿者 Val Saengphaibul | 2021年9月14日

FortiGuard Labs Threat Research Report

2021年9月7日、マイクロソフトは、Microsoft Windowsに影響を与える活発な攻撃について公開しました。この脆弱性、CVE-2020-40444は、MSHTMLに存在するリモートコード実行の脆弱性です。現在のところ、パッチはありません。MSHTMLはTridentとも呼ばれ、Internet ExplorerとWindowsプラットフォームに特化したレガシーな独自のブラウザエンジンです。今回の攻撃では、特別に作成された悪意のあるMicrosoft Office文書がターゲットに使用されていることが確認されています。この種の攻撃に多々見られるように、脆弱性を発動させるため、ターゲットは悪意のある文書を開くように強制されたり、誘導されます。

このブログでは、この脆弱性に関する情報、攻撃の仕組み、この脆弱性に対処するために実施されているフォーティネット製品の保護について紹介しています。追加情報は、FortiGuard Labsが9月7日に発表したThreat Signal(脅威シグナル)に掲載されています。

マイクロソフト MSHTML リモートコード実行の脆弱性の技術概要

マイクロソフトによると、「攻撃者は、ブラウザのレンダリングエンジンをホストするMicrosoft Officeドキュメントで使用される悪意のあるActiveXコントロールを細工することができます。」 脅威アクターは、特別に細工されたOfficeファイルを使用して、Internet Explorerのエンジンを使用し、脅威アクターが細工または侵害した所定のWebページをレンダリングします。しかし、攻撃者がこの脆弱性をうまく利用するためには、ターゲットがソーシャルエンジニアリングによって、ActiveXコントロールを使用して悪意のあるペイロードをダウンロードするように細工されたOfficeファイルを開く必要があります。このペイロードは、CPLファイル実行機能を使用して実行され、タスクを完了します。CPLファイルの実行では、 Windowsがコントロールパネルアプリケーションとして認識するCPLAppletと呼ばれる機能をエクスポートするコントロールパネルを使用します。

この脆弱性の特徴は、Microsoft Windowsに存在するレガシーアプリケーションが使用されていることです。Internet ExplorerとActiveXは、30年以上にわたってMicrosoft Windowsのプラットフォームの一部となっています。ActiveXは、1996年にInternet Explorer 3.0と同時に導入され、Internet ExplorerとホストOSとの間のやり取りを可能にします。ActiveXには特権が与えられているため、悪意のあるActiveXコントロールは、キーストロークや重要なシステムデータなどの重要な情報にアクセスすることができます。非推奨ではありますが、多くの組織がこの技術に依存しているため、Windows 10とMicrosoft Officeは依然としてActiveXコントロールをサポートしています。

さらに問題を複雑にしているのは、マイクロソフトが2020年8月31日にInternet ExplorerとActiveXのサポートをすべて終了したことです。Internet Explorerは2022年6月15日に正式に引退する予定で、Windows 11には搭載されません。なお、Windows 11へのActiveXの搭載に関しては、公式な発表はありません。

フォーティネットのソリューション

  • FortiGuard Labsは、以下のような既知の悪意のあるファイルサンプルに対してAVカバレッジでブロックします。

JS/Agent.NKE!tr (definitions version 88.00961)
MSOFFICE/Agent.DHY!tr (definitions version 88.00961)
W64/Agent.ASO!tr (definitions version 88.00798)
MSOffice/Agent.d455!tr.dldr (definitions version 88.00961)
MSOffice/Agent.CNG!tr.dldr (definitions version 88.00961)

  • すべての既知のネットワークIOCは、Webフィルタリングクライアントによってブロックされています。
  • FortiEDR では、公開されているすべてのIOCは当社のクラウド基盤にもインテリジェンスとして追加されており、お客様のシステムで実行されるとブロックされます。
  • IPS による保護については、FortiGuard Labsがこの脆弱性を次のIPSカバレッジでブロックします。MS.Office.MSHTML.Remote.Code.Execution

FortiGuard Content, Disarm, and Reconstruction (CDR) は、以下のオプションを有効にすることで、この攻撃からユーザーを保護できます。

Enable/disable stripping of linked objects in Microsoft Office documents.(Microsoft Officeドキュメント内のリンクされたオブジェクトのストリッピングを有効にする/無効にする。)

減災については、FortiGuard Labsは、Microsoft Internet ExplorerのすべてのActiveXコントロールを無効にすることを推奨しており、これによりこの問題に対処できます。これは、レジストリを編集することで実行できます。これらの編集を行う方法の具体的な詳細は、関連する Microsoftのアドバイザリに記載されています。レジストリの編集を誤ると、オペレーティングシステムに深刻な問題が発生する可能性があるため、慎重に行う必要がありますのでご注意ください。

この脅威は、フィッシング技術を使って悪意のあるオフィス文書を配信していることが確認されているため、これらの課題に対処することが重要となります。 そのためには、脅威を察知して効果的に阻止するだけでなく、大規模なセキュリティ戦略に容易に統合できるセキュアメールゲートウェイを選択し、導入する必要があります。AAAランクのFortiMail は、フォーティネットのセキュリティファブリックに完全に統合されており、企業はFortiMailを完全なエンドツーエンドのセキュリティソリューションの一部として導入することができます。

また、最新のフィッシング/スピアフィシング攻撃について従業員を教育し、情報を提供するための継続的なトレーニングセッションを実施することが強く推奨されます。これには、知らない人からの添付ファイルを決して開かないことや、認識できない/信頼できない送信者からの電子メールを常に慎重に扱うことを従業員に奨励することが含まれます。

様々なフィッシングやスピアフィッシングの攻撃は、ソーシャルエンジニアリングによる配信メカニズムを介して行われていることが報告されているため、組織内のエンドユーザには、様々な種類の攻撃が行われていることを認識してもらう必要があります。そのためには、定期的なトレーニングや、社内のセキュリティ部門が作成した所定のテンプレートを使った緊急のテストを行うことが有効です。また、悪意のある添付ファイルやリンクが付いた電子メールを見分ける方法をユーザーに教えるだけでも、ネットワークへの初期アクセスを防ぐことができます。