閉じる
メニュー

.docファイルはWindowsコンピュータを危険にさらす可能性があります

  • ユーザーの操作なしにマ​​シンを危険にさらす可能性のある新しいWindowsゼロクリック攻撃が実際に観察されています。
  • Microsoftはこの問題を認識し、修正手順を発表しましたが、バグにはまだ公式のパッチがありません。
  • セキュリティ研究者は、バグが積極的に悪用されていることを確認しており、近い将来、さらに多くの攻撃が発生すると予想しています。
シミュレートされた光のウェブの機械的なバグ。

ジョンMルンド写真株式会社/ゲッティイメージズ

ハッカーは、特別に細工された悪意のあるファイルを送信するだけで、Windowsコンピューターに侵入する方法を発見しました。

Follinaと呼ばれるこのバグは、ハッカーが変更されたMicrosoft Officeドキュメントを送信するだけで、Windowsシステムを完全に制御できる可能性があるため非常に深刻です。 場合によっては、Windowsファイルのプレビューで厄介な部分をトリガーするのに十分であるため、ファイルを開く必要さえありません。 特に、 マイクロソフトはバグを認めました しかし、それを無効にするための公式の修正はまだリリースされていません。

「この脆弱性は、依然として心配すべきことのリストの一番上にあるはずです」 ヨハンズ・ウルリッヒ博士、研究部長 SANSテクノロジーインスティテュート、で書いた SANS週刊ニュースレター. 「マルウェア対策ベンダーは署名を迅速に更新していますが、この脆弱性を利用する可能性のあるさまざまなエクスプロイトから保護するには不十分です。」

妥協するためのプレビュー

脅威は 最初に発見された 悪意のあるWord文書のおかげで、5月末に日本のセキュリティ研究者によって。

セキュリティ研究者 ケビンボーモント 脆弱性を明らかにし、 .docファイルを発見しました 偽のHTMLコードをロードし、Microsoft Diagnostics Toolを呼び出してPowerShellコードを実行し、悪意のあるペイロードを実行します。

Windowsは、Microsoft Diagnostic Tool(MSDT)を使用して、オペレーティングシステムに問題が発生した場合に、診断情報を収集して送信します。 アプリは、Follinaが利用することを目的とした特別なMSDT URLプロトコル(ms-msdt://)を使用してツールを呼び出します。

「このエクスプロイトは、互いに積み重なったエクスプロイトの山です。 ただし、残念ながら再作成は簡単で、アンチウイルスでは検出できません。」 セキュリティ擁護者を書いた Twitter上で。

Lifewireとの電子メールディスカッションで、 ニコラス・セメリキッチ、サイバーセキュリティエンジニア イマーシブラボ、フォッリーナはユニークだと説明しました。 これは、Officeマクロを誤用する通常のルートをとらないため、マクロを無効にした人に大混乱をもたらす可能性さえあります。

「長年にわたり、悪意のあるWord文書と組み合わせた電子メールフィッシングは、ユーザーのシステムにアクセスするための最も効果的な方法でした」とCemerikic氏は指摘しました。 「被害者は文書を開くだけでよいので、フォッリーナの攻撃によってリスクが高まります。場合によっては、 セキュリティを承認する必要をなくしながら、Windowsプレビューペインを介してドキュメントのプレビューを表示します 警告。」

マイクロソフトはすぐにいくつかを出しました 修復手順 フォッリーナによってもたらされるリスクを軽減するため。 「利用可能な緩和策は、業界がその影響を研究する時間がなかった厄介な回避策です」と書いています ジョンハモンド、の上級セキュリティ研究者 ハントレス、会社の ディープダイブブログ バグについて。 「Windowsレジストリの設定を変更する必要があります。これは、レジストリエントリが正しくないとマシンがブリックする可能性があるため、深刻な問題です。」

この脆弱性は、依然として心配すべきことのリストの一番上にあるはずです。

Microsoftはこの問題を修正するための公式パッチをリリースしていませんが、 非公式のもの から 0パッチプロジェクト.

修正について話し、 Mitja Kolsek、0patchプロジェクトの共同創設者は、Microsoft診断ツールを完全に無効にするか、Microsoftのを成文化するのは簡単だと書いています。 パッチへの修復手順では、プロジェクトは別のアプローチを採用しました。これらのアプローチは両方とも、パフォーマンスに悪影響を与えるためです。 診断ツール。

まだ始まったばかりです

サイバーセキュリティベンダーはすでに欠陥が存在することを認識し始めています 積極的に悪用 米国とヨーロッパのいくつかの注目を集めるターゲットに対して。

現在のエクスプロイトはすべてOfficeドキュメントを使用しているように見えますが、Follinaは他の攻撃ベクトルを介して悪用される可能性があるとCemerikicは説明しています。

フォッリーナがすぐになくなることはないと彼が信じた理由を説明し、Cemerikicは他の人と同じように言った 主要なエクスプロイトまたは脆弱性、ハッカーは最終的にエクスプロイトを支援するツールの開発とリリースを開始します 尽力。 これは本質的に、これらのかなり複雑なエクスプロイトをポイントアンドクリック攻撃に変えます。

バックグラウンドでコンピューターとスピーカーで、コンピューターのマウスを操作している誰かの手のクローズアップ。

EvgeniyShkolenko/ゲッティイメージズ

「攻撃者は、攻撃がどのように機能するかを理解したり、一連の脆弱性を連鎖させたりする必要がなくなりました。必要なのは、ツールの「実行」をクリックすることだけです」とCemerikic氏は述べています。

彼は、これがまさにサイバーセキュリティコミュニティが過去1週間に目撃したものであり、 非常に深刻なエクスプロイトが、能力の低い、または教育を受けていない攻撃者やスクリプトキディの手に渡っています。

「時間が経つにつれて、これらのツールが利用可能になるほど、マルウェアの方法としてフォッリーナが使用されるようになります。 ターゲットマシンを危険にさらすための配信」とCemerikicは警告し、Windowsマシンにパッチを適用することなく 遅れ。