Microsoftは、2014年10月21日(現地時間)、Windows 上で影響するゼロデイ脆弱性「CVE-2014-6352」について新たに明らかにしました。この脆弱性は、Microsoft Office ファイルを介して利用されます。10月15日のブログ記事などで Office文書ファイルを利用したゼロデイ攻撃を報告していますが、今回のゼロデイ脆弱性はまた新たに確認されたものです。ご注意ください。同社の「セキュリティ アドバイザリ 3010060」によると、問題のゼロデイ脆弱性は、Windows Server 2003 以外で、サポート ライフサイクル中のすべて Windows に影響を与えます。
このゼロデイ脆弱性は、特別に細工された Microsoft Office のファイルにより利用されます。同社は、PowerPoint のファイルを利用した攻撃の確認について言及していますが、すべての Microsoft Office のファイル形式がこうした攻撃を実行する際に利用される恐れがあります。
サーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」により、「Sandworm」、また発生した攻撃から防御します。特別に細工されたファイルは、不正な Object Linking and Embedding(OLE)のオブジェクトを含んでいます。この OLEオブジェクトは、複数のアプリケーション間で情報を共有する際に使用され、問題の脆弱性は、Windows のこのコンポーネントに存在するようです。この脆弱性が利用されると、影響を受けるユーザの権限で不正なコードが実行されることになります。また、管理者の権限を取得するために、異なるエクスプロイトコードを利用する必要があります。さらに、既定では、「ユーザー アカウント制御(UAC)」のプロンプトが表示され、これにより影響を受けるユーザは、通常と異なる事態が発生していることが気付くことになります。
Microsoft は、10月22日現在、このゼロデイ脆弱性に対応するセキュリティ更新プログラムを定例外セキュリティ情報で公開するかどうか言及していません。トレンドマイクロでは、より確実な情報が入手できるまで、送付された Microsoft Office のファイルは、慎重に開封することを強く推奨します。特に、身元不明な送信元から送られている場合はなおさらです。また同社は、セキュリティアドバイザリ上で、今回のゼロデイ脆弱性の今回のゼロデイ脆弱性の影響の回避策として「マイクロソフト Fix it ソリューション」や「Enhanced Mitigation Experience Toolkit(EMET)5.0」の利用方法を紹介しています。
【更新情報】
| 2014/10/24 | 18:00 | 現在入手可能な情報によると、脆弱性を利用した今回の攻撃は「Sandworm」と根本的に同一と考えられます。「Sandworm」は 10月の定例セキュリティ更新で報告、更新プログラムが公開された脆弱性です。Microsoft が最初に公開した更新プログラムでこの問題は完全に解決されず、同じ脆弱性を利用した新たな攻撃が発生したと思われます。
サーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」をご利用のお客様は、以下のフィルタを適用することにより、「Sandworm」、また新たに確認された脆弱性利用の攻撃から保護されます。
|
参考記事:
by Jonathan Leopando (Technical Communications)
翻訳:船越 麻衣子(Core Technology Marketing, TrendLabs)