ワードパッド テキスト コンバーターの未修正脆弱性への攻撃を確認(TROJ_MCWORDP.A)

 リージョナルトレンドラボではWord 97 ファイル用の ワードパッド テキスト コンバーター(以下 ワードパット)の未修正の脆弱性を攻撃する不正プログラムが流通していることを確認しました。既に日本国内のお客様からも検体提供いただいております。トレンドマイクロではこの不正プログラムを「TROJ_MCWORDP.A」としてウイルスパターンファイル 5.705.00(2008年12月12日公開)から検出対応しています。

 「TROJ_MCWORDP.A」である細工が施されたファイル(.doc、.rtf、.wri)をワードパッドで読み込むと、ウイルスが発症します。発症により、「%User Temp%NOTEPADE.EXE」がドロップされます。

攻撃タイプ ベンダ発表(発表日:2008/12/10) 脆弱性情報
会社名 識別番号 情報のタイトル CVE(JVN) 深刻度
受動 マイクロソフト株式会社 960906 Microsoft ワードパッドのテキスト コンバーターの脆弱性により、リモートでコードが実行される CVE-2008-4841 N/A
トレンドマイクロ製品による脆弱性緩和策
  ソリューション バージョン 検出名、検出別名(2008/12/12時点)
ウイルスパターンファイル 5.705.00 TROJ_MCWORDP.A
Exploit-MSWord.b(McAfee)
ネットワークウイルスパターンファイル N/A N/A
セキュリティ診断パターンファイル N/A N/A

 「TROJ_MCWORDP.A」が攻撃するセキュリティホールに関してはマイクロソフト社の説明をご参照ください。

マイクロソフト セキュリティ アドバイザリ (960906) Microsoft ワードパッドのテキスト コンバーターの脆弱性により、リモートでコードが実行される」(日本語)

 マイクロソフト社では、詳細について現在調査中であることを発表しています(2008年12月12日現在)。セキュリティ更新プログラムは未公開の状態であり、「TROJ_MCWORDP.A」は「ゼロデイ攻撃」といえます。

 このため、セキュリティ更新プログラムの一般公開まで、日頃からのセキュリティ基本対策を怠るべきではありません。特に「信頼できないファイルは開かない」とのセオリーを徹底することが重要です。

 また、マイクロソフト社では「テキストコンバーターの無効化」も対処療法の一つとして紹介しています。ただし、同機能の無効化により、ワードパッドでWord 97のファイルを開けなくなるだけではなく、Word 97のファイルをワードパッドのリッチテキスト形式(.rtf)やWord 2003形式(.doc)のファイルに変換できなくなる点に注意すべきといえます。

 このほか、Windows XP SP3/Vista/Server 2008は影響を回避していると発表されています。このため、Windows XP利用者は、この機会にXP SP3の適用を検討してみてはいかがでしょうか。

 セキュリティ対策製品を上手く活用し、リスク回避を行ってください。