Microsoft Windows の OLE オブジェクト処理に起因する任意コード実行の脆弱性(Scan Tech Report)
Microsoft Windows の OLE パッケージャに任意のコードが実行可能な脆弱性が報告されています。
脆弱性と脅威
エクスプロイト
Microsoft Windows の OLE パッケージャに任意のコードが実行可能な脆弱性が報告されています。
ユーザが OLE オブジェクトが埋め込まれた悪質な Office ファイルを閲覧した場合に、リモートの第三者によってシステム上で不正な操作が実行される可能性があります。
PowerPoint ファイルを利用した標的型攻撃も確認されており、脆弱性を悪用された場合の影響度が高いため、パッチ未適用の Windwos OS を利用するユーザは可能な限り以下に記載する対策を実施することを推奨します。
2.深刻度(CVSS)
9.3
https://nvd.nist.gov/cvss.cfm?version=2&name=CVE-2014-6352&vector=(AV:N/AC:M/Au:N/C:C/I:C/A:C)
3.影響を受けるソフトウェア
Microsoft Windows Vista
Microsoft Windows Server 2008/2008 R2※1
Microsoft Windows 7
Microsoft Windows 8/8.1
Microsoft Windows Server 2012/2012 R2※1
Microsoft Windows RT/RT 8.1
※1 Server Core インストールを実施した Windows Server 2008/2008 R2, Windows Server 2012/2012 R2 は、この脆弱性の影響を受けません。
4.解説
Object Linking and Embedding (OLE) は、複数のアプリケーションソフト間でデータやオブジェクトを共有するための技術であり、例えば、PowerPoint ファイルに Excel データを挿入し利用することが可能です。
Microsoft Windows の OLE パッケージャ (packager.dll) には、Office ファイルに含まれる OLE オブジェクトを適切に処理しないため、任意のコード実行が可能な脆弱性が存在します。
この脆弱性を利用することで、リモートの攻撃者は、Office アプリケーションを実行するユーザの権限で攻撃コードが実行可能となります。
なお、ユーザアカウント制御 (UAC) が有効な環境で、この脆弱性が悪用された場合、攻撃コードが含まれるファイルが実行される前にユーザ特権に応じて、UAC 警告が表示されます。但し、Python がインストールされている場合は、この限りではなく、UAC を回避されてしまう可能性があります。
この脆弱性は、ロシアの Sandworm Team が標的型攻撃として利用した脆弱性 (CVE-2014-4114) と類似しますが、異なる問題になります。また、同じパッチ (MS14-064) で解消される Scan Tech Report Vol.605 で紹介した問題 (CVE-2014-6332) とも異なるものになります。
5.対策
以下の Web サイトを参考に、それぞれの Windows OS バージョンに対応するパッチ (MS14-064) を入手し適用することで、この脆弱性を解消することが可能です。
※Windows Update/Microsoft Update を行うことでも同様に脆弱性を解消することが可能です。
MS14-064:
http://technet.microsoft.com/security/bulletin/MS14-064
あるいは、下記のいずれかの緩和策を実施することで、現在確認されている攻撃による影響を緩和することが可能です。
・Microsoft Fix it (Fix it 51026) を適用する※2
・UAC を有効にする
・Enhanced Mitigation Experience Toolkit (EMET) を使用する※3
※2 http://support.microsoft.com/kb/3010060
※3 http://technet.microsoft.com/ja-jp/security/jj653751.aspx
6.ソースコード
(Web非公開)
(執筆:株式会社ラック サイバー・グリッド研究所)
※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録(有料)下さい。
Scan Tech Report
http://scan.netsecurity.ne.jp/archives/51916302.html
ソース・関連リンク
関連記事
Scan PREMIUM 会員限定記事
もっと見る-
-
Linux の GSM ドライバにおける Use-After-Free の脆弱性(Scan Tech Report)
2024 年 1 月に公開された、Linux カーネルの脆弱性を悪用するエクスプロイトコードが公開されています。攻撃者は当該脆弱性の悪用により、一般権限での侵入に成功した OS の管理者権限が奪取可能です。Linux カーネルのアップデートにより対策してください。
-
訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績
彼は英国王立協会のフェローでもあり、ニュートン、ダーウィン、ホーキング、チューリングが名を連ねる「知の殿堂」入りを果たしていた。
ピアツーピアシステムとハードウェアの耐タンパー性における草分け的存在である彼は、チップや銀行の暗証番号カードなどの安全な設計に長年取り組み大きな影響を与えた。そして、ATM におけるセキュリティ上の欠陥を公表するというアンダーソンの取り組みにより、世界中で ATM の設計が変更されることとなった。 -
ガートナー クラウドクッキング教室 ~ CCoE 構築の重要性
最後に、ハンキンス氏はクラウドセキュリティ全体像を戦略メニューとして図示した。上記で説明したソリューションやツール、各種フレームワークやプラットフォームが、機能や用途ごとに俯瞰できるものだ。この図は、ガートナーのクラウドセキュリティのコンサルティングの戦略ベースを示したものといってもよい。自社のセキュアクラウドを構築するときの「レシピ」として利用することができるだろう。