Microsoftの診断ツールにリモートコード実行の脆弱性
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」6月6日の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・普段使いの文書ファイルにも影響、悪用されると何が起こる?
・修正パッチのリリースが即座に行われない脆弱性に対してどう対処すべきか
今回の解説ニュース
Microsoftの診断ツールにリモートコード実行の脆弱性
米Microsoftは現地時間5月30日、Microsoft サポート診断ツールにリモートからコード実行が可能な脆弱性が確認されたとしてセキュリティ情報を公開した。
Windowsに緊急度の高い脆弱性が公表されています。今現在(2022年6月3日)の時点でもまだ修正プログラムは公開されていませんので、セキュリティ対策プログラムのアップデートや、回避策の実施を検討したりしてください。
今回の脆弱性が公表されたソフトウェアは、Windowsに標準で導入されているMicrosoft サポート診断ツール、略してMSDTです。CVE番号は「CVE-2022-30190」が割り当てられており、CVSSv3のベーススコアは10点中7.8点で、深刻度は上から2番目の「重要」とされています。
脆弱性が悪用されると、プログラムを実行したユーザの権限で任意のコードが実行されるということです。影響を受けるシステムはWindows 7以降とWindows Server 2008以降のOSがインストールされた端末です。6月3日現在、Microsoftから修正プログラムは提供されていません。
回避策として、MSDTが呼び出されなくするためにレジストリを修正する方法が提供されています。また、Microsoft Defenderを含む、多くのセキュリティ対策プログラムを最新の状態にアップデートすることで脆弱性の悪用を検知することができるということです。
普段使いの文書ファイルにも影響、悪用されると何が起こる?
MSDTの脆弱性を悪用された場合、端末内の情報にアクセスされたり、マルウェアに感染させられたりする可能性があります。また、今回の脆弱性は簡単に悪用できる事が考えられるため、多くの環境で影響を受けることが懸念されています。
現在、Microsoft Wordの文書ファイルを経由した攻撃手法がインターネット上に公表されています。具体的には、Word文書を開いたり、ファイルをプレビューすることで、外部のサーバからファイルが取得され、MSDTが呼び出される手法が広く知られています。Wordのマクロを無効化している場合でも脆弱性の影響を受けることから、多くの端末で影響を受けることが懸念されています。
MSDTが呼び出されると、Wordや呼び出し元のプログラムを実行したユーザの権限で任意のコードが実行されるため、端末内の情報にアクセスされたり、外部から別のマルウェアをダウンロードされたりする可能性があります。また、MSDTはWord以外にも複数の呼び出し方法があることから、別の攻撃手法が今後発表される可能性があります。
その他のトピック
修正パッチのリリースが即座に行われない脆弱性に対してどう対処すべきか
(全文はこちら)