米国時間9月7日、Microsoft社はWindowsの複数のバージョンに影響を及ぼす新たなゼロデイ脆弱性の存在を明らかにしました。既にこの脆弱性(CVE-2021-40444)を悪用した攻撃として、不正なOffice 365ドキュメントを介した攻撃が確認されています。ただし、この攻撃が実行されるためにはユーザが「ドキュメントファイルを開く」ことが必要となります。なおMicrosoft社は、インターネットからダウンロードしたOfficeドキュメントの場合はデフォルトで「保護ビュー」、また環境によっては「Application Guard」機能により守られるため、今回の攻撃を防ぐことができる、と説明しています。しかし、保護ビューを解除した場合、またはApplication Guardが有効になっていない場合には、脆弱性が悪用され影響を受けた端末上で不正なファイルがダウンロードおよび実行されることになります。現在、この脆弱性を利用して商用のペネトレーションテストツール「Cobalt Strike」のペイロードを侵入させる攻撃を確認しています。この記事では、この脆弱性を悪用した攻撃手口および対策についてご紹介します。
続きを読む