Word の未解決のバグにより、ハッカーが PC にリモートからアクセスできるようになります

サイバーセキュリティ グループ「Nao-sec」によって Microsoft Office、特にMicrosoft Wordで発見された新しい「ゼロデイ」脆弱性により、ハッカーが個人データを盗むためにユーザーの PC にリモート アクセスできるようになります。研究者の Kevin Beaumont によって「Follina」と名付けられたこのセキュリティ上の欠陥は、Microsoft Office パッケージのさまざまなバージョンに影響を与えるようです。これには、2013 バージョンから 2021 バージョンまで、さらに Office Pro Plus およびOffice 365も含まれます。

この脆弱性により、具体的には、Microsoft サポート ツールであるMSDT を介して PowerShell コマンドを実行できるようになります。これはすべて、シンプルな Word ドキュメントのおかげです。ボーモント氏は出版物の中で、「リモート Web サーバーから HTML を取得する」ために Microsoft のテキスト編集プログラムの「リモート テンプレート機能を使用している」こと、そして同時に「ms-msdt MSProtocol」を利用していることを強調しています。 ” コードをロードし、前述のコンソール インターフェイスで実行するための URI スキーム。これらすべては、Windows Defender によって検出されず、マクロが無効になっても実行されません。

Microsoft はほんの数時間前にこの脆弱性を「ゼロデイ」脆弱性として分類しましたが、Beaumont 氏が明らかにしたように、この欠陥は数週間前から Office スイートに存在していました。ハッカーは、被害者の注意を引くことを目的としたコンテンツを含む Word 文書を使用しているようです。その中には、セクハラ被害に遭った人の話や、ロシアメディアへの取材依頼も含まれている。リモート アクセスは、ドキュメントを開いた直後に取得され、場合によっては、ファイル エクスプローラーでプレビューを表示することによっても取得されます。

Word の新しい脆弱性を利用して PC を制御できないようにする方法

Microsoft は当初、この脆弱性をそのようなものとして考慮していませんでしたが、解決策に取り組んでいるようです。そのため、数日以内に Office パッケージ、さらには Windows にも問題を解決するための新しいセキュリティ更新プログラムが提供される可能性があります。一方、ハッカーが自分のコンピュータに完全にアクセスできないようにするために、ユーザーが実行できる一連の対策があります。

これらの対策の 1 つは、不明なドキュメントを開いたりダウンロードしたりしないようにすることです。たとえば、電子メールで届くもの。この脆弱性は、リモートの Word テンプレートを使用してロードされることを思い出してください。したがって、Microsoft Defender または同様の特性を持つ他のウイルス対策がファイルを脅威として検出することは非常に困難です。

一方、Office アプリケーションによる子プロセスの作成をブロックしたり、レジストリ エディターを使用して「ms-msdt」ファイルを手動で削除したりするなど、Microsoft Word の一部の機能やプロセスを無効にすることもできます。これにより、Microsoft はこのプロセスを実行できなくなります。