Microsoft Windows の OLE オブジェクト処理に起因する任意コード実行の脆弱性(Scan Tech Report)
Microsoft Windows の OLE パッケージャに任意のコードが実行可能な脆弱性が報告されています。
脆弱性と脅威
エクスプロイト
Microsoft Windows の OLE パッケージャに任意のコードが実行可能な脆弱性が報告されています。
ユーザが OLE オブジェクトが埋め込まれた悪質な Office ファイルを閲覧した場合に、リモートの第三者によってシステム上で不正な操作が実行される可能性があります。
PowerPoint ファイルを利用した標的型攻撃も確認されており、脆弱性を悪用された場合の影響度が高いため、パッチ未適用の Windwos OS を利用するユーザは可能な限り以下に記載する対策を実施することを推奨します。
2.深刻度(CVSS)
9.3
https://nvd.nist.gov/cvss.cfm?version=2&name=CVE-2014-6352&vector=(AV:N/AC:M/Au:N/C:C/I:C/A:C)
3.影響を受けるソフトウェア
Microsoft Windows Vista
Microsoft Windows Server 2008/2008 R2※1
Microsoft Windows 7
Microsoft Windows 8/8.1
Microsoft Windows Server 2012/2012 R2※1
Microsoft Windows RT/RT 8.1
※1 Server Core インストールを実施した Windows Server 2008/2008 R2, Windows Server 2012/2012 R2 は、この脆弱性の影響を受けません。
4.解説
Object Linking and Embedding (OLE) は、複数のアプリケーションソフト間でデータやオブジェクトを共有するための技術であり、例えば、PowerPoint ファイルに Excel データを挿入し利用することが可能です。
Microsoft Windows の OLE パッケージャ (packager.dll) には、Office ファイルに含まれる OLE オブジェクトを適切に処理しないため、任意のコード実行が可能な脆弱性が存在します。
この脆弱性を利用することで、リモートの攻撃者は、Office アプリケーションを実行するユーザの権限で攻撃コードが実行可能となります。
なお、ユーザアカウント制御 (UAC) が有効な環境で、この脆弱性が悪用された場合、攻撃コードが含まれるファイルが実行される前にユーザ特権に応じて、UAC 警告が表示されます。但し、Python がインストールされている場合は、この限りではなく、UAC を回避されてしまう可能性があります。
この脆弱性は、ロシアの Sandworm Team が標的型攻撃として利用した脆弱性 (CVE-2014-4114) と類似しますが、異なる問題になります。また、同じパッチ (MS14-064) で解消される Scan Tech Report Vol.605 で紹介した問題 (CVE-2014-6332) とも異なるものになります。
5.対策
以下の Web サイトを参考に、それぞれの Windows OS バージョンに対応するパッチ (MS14-064) を入手し適用することで、この脆弱性を解消することが可能です。
※Windows Update/Microsoft Update を行うことでも同様に脆弱性を解消することが可能です。
MS14-064:
http://technet.microsoft.com/security/bulletin/MS14-064
あるいは、下記のいずれかの緩和策を実施することで、現在確認されている攻撃による影響を緩和することが可能です。
・Microsoft Fix it (Fix it 51026) を適用する※2
・UAC を有効にする
・Enhanced Mitigation Experience Toolkit (EMET) を使用する※3
※2 http://support.microsoft.com/kb/3010060
※3 http://technet.microsoft.com/ja-jp/security/jj653751.aspx
6.ソースコード
(Web非公開)
(執筆:株式会社ラック サイバー・グリッド研究所)
※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録(有料)下さい。
Scan Tech Report
http://scan.netsecurity.ne.jp/archives/51916302.html
ソース・関連リンク
関連記事
Scan PREMIUM 会員限定記事
もっと見る-
-
OWASP データブリーチ
幸いなことに、これらの履歴書の情報はほとんどの場合少なくとも 10 年前のものだが、それでも個人情報が多く含まれていることには変わりない。
-
悪夢の検証 大英図書館ランサムウェア ~ 過ちが語る普遍的な物語
大英図書館には多くの個性がある。独特の複雑な役割分担があり、それは法律で独自に規制されている。別の見方をすれば、ITインフラストラクチャは古くから確立されたコアサービスとの間でリソースを奪い合い、しばしば失敗するという点で、国やその他の大規模な組織の典型である。大英図書館の状況も、うまくいかないことの壮大な例にすぎない。
-
AI アプリ標的 ゼロクリックワーム開発/北 韓国半導体企業へ攻撃/米司法省 APT31 メンバー訴追 ほか [Scan PREMIUM Monthly Executive Summary 2024年3月度]
興味深い研究発表として、イスラエル工科大学やコーネル工科大学などの研究者は、OpenAI の ChatGPT や Google の Gemini など、生成 AI を活用する AI アプリケーションを標的としたゼロクリックワーム「Morris II」を開発し、ユーザーの個人情報の窃取に成功したことを発表しました。