ハッカーが被害者のコンピュータを攻撃するために最もよく使用する方法の 1 つは、電子メールで送信される悪意のある添付ファイルによるものです。このタイプの攻撃は、ゼロデイ脆弱性の悪用を目的とした場合に特に危険です。これはまさに最近のキャンペーンで起こっていることです。これは、Microsoft によって修正されていないバグを利用し、 Office ファイルを介して Windows コンピュータに感染します。
リモートでコードが実行される脆弱性が自社のオペレーティング システムで積極的に悪用されていると警告を発したのは Microsoft 自身です。 CVE-2021-40444 として知られるこの欠陥は、 Windows 7、Windows 8、およびWindows 10のすべてのバージョンに影響します。また、Windows Server 2008 以降のエディションにも影響します。同社独自のレポートによると、この攻撃の重大度は最大10段階で8.8となっている。
攻撃者が行っていることは、ユーザーにファイルを開かせることを目的として、感染した Office ファイルを送信することです。一般に、被害者を説得するためには、正当であるかのように見える文書が用いられることが多い。ただし、誰かがファイルを開くと、Internet Explorer が自動的に起動し、 Windows に感染するマルウェアをダウンロードする ActiveX コントロールを含む悪意のあるページが読み込まれます。
Microsoftはまだセキュリティパッチをリリースしていません
EXPMON の Haifei Li 氏を含むサイバーセキュリティ企業の研究者グループは、先週の日曜日にマイクロソフトにゼロデイ脆弱性について通知しました。同社はパッチをリリースするために「報告内容を調査している」とすぐに返答した。ただし、彼らは問題を認めており、感染が発生した場合、制限されたアカウントを持つユーザーは管理者権限を持つユーザーよりも影響が少ない可能性があると述べています。
Microsoft は、感染した Office ファイルが Office 365 の保護ビューまたはアプリケーション ガード モードで開かれた場合には攻撃は実行できないと述べています。前者は読み取り専用の機能です。 2 つ目は、ドキュメントを安全な環境に隔離し、ネットワーク共有とシステム ファイルへのアクセスを拒否します。ただし、信頼できないソースからのドキュメントは決して開かないことをお勧めします。
レドモンドの会社は、感染を防ぐために Internet Explorer の ActiveX コントロールを無効にすることを推奨しています。ただし、これは Windows レジストリの変更とコンピュータの再起動が必要な作業です。また、Microsoft Defender と Microsoft Defender for Endpoint を常に最新の状態に保つことも推奨しています。これらは、脅威を阻止できる独自のセキュリティ ソリューションであるとのことです。
参考資料一覧
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444
- https://twitter.com/EXPMON_/status/1435309115883020296
- https://unsplash.com/@windows