アップデート: Excelのゼロデイ脆弱性が一般の環境下で拡散 2009年4月14日
アップデート: Excelのゼロデイ脆弱性が一般の環境下で拡散
マイクロソフトがパッチをリリース
危険度:高
2009年4月14日
アップデート:
LiveSecurityでは、2月24日にExcelのゼロデイ脆弱性について警告した。攻撃者はこの脆弱性を悪用してユーザのコンピュータでコードを実行、そのコンピュータを完全に操作できるようになる可能性がある。この問題を最初に報告した時点で、攻撃者達はこの重大なセキュリティ問題をすでに一般の状況下で実際に悪用しており、LiveSecurityではマイクロソフトがこの問題に対応するパッチをリリース次第、アップデートで知らせると報告した。そして、マイクロソフトは4月のパッチ更新の一部としてそのパッチをリリースした。
マイクロソフトのセキュリティ情報は、以前取り上げられたExcelのゼロデイ欠陥と別の脆弱性、計2つの脆弱性について説明しているが、脆弱性に関する技術情報については詳しく説明されていない。マイクロソフトは、この欠陥をExcel が細工されたスプレッドシートを解析する方法に関与するメモリ破壊脆弱性とのみ説明している。攻撃者は、細工が施されたExcel スプレッドシート(.xls)をユーザが開くように誘導することに成功すると、どちらかの欠陥を悪用してユーザ・レベルの権限や、特権を得た状態でユーザのコンピュータでコードを実行することができるようになる。また、ユーザがローカル管理者であった場合、攻撃者はそのユーザのコンピュータを完全に操作できるようになる。
マイクロソフトはこのゼロデイ欠陥に対応するパッチをリリースしているので、それを至急インストールすることをすすめる。詳細については下記を参照。
対策:
マイクロソフトは、Office やExcel でこうした脆弱性を修正するパッチをリリースしている。状況に適したパッチを至急ダウンロードし、テストしてからネットワーク全体に導入することをすすめる。
Office または Excel 2007 ユーザがこのような脆弱性から完全に保護されるようにするには、Microsoft Office Compatibility Pack for Word, Excel, PowerPoint 2007 ファイル形式もインストールする必要がある。
ウォッチガード・ユーザ:
一時的にExcel スプレッドシート(.xls)をブロックするためにFireboxのプロキシ・ポリシーをカスタマイズしたことがある場合は、マイクロソフトのパッチをインストールした後にそのポリシーを除去することで、問題のないExcelドキュメントをユーザが再びダウンロードできるように許可することができる。この脆弱性の詳細については、2月24日付けのセキュリティ・アラートを参照することをすすめる。また、同記事はこちらからも閲覧可能。
Excel のゼロデイ脆弱性が一般の環境下で拡散
危険度: 高
2009年2月24日
【概要】
対象:
Windows版とMac版のMicrosoft Excel 最新版(Excel Viewer、Office Compatibility Packも含む)
攻撃方法:
細工したExcelスプレッドシートをユーザが開くように誘導
影響:
攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
対策:
この記事の「対策」で説明している対策を講じること
【詳細】
マイクロソフトは、米国時間の2月24日にリリースしたセキュリティ情報で 非常に深刻なExcelの脆弱性について警告した。攻撃者達はすでにインターネットでこの脆弱性の攻撃を開始しているが、修正パッチはまだ用意されていない。この脆弱性は、Windows版とMac版のMicrosoft Excel 最新版(Excel Viewer、Office Compatibility Packも含む)に影響している。
マイクロソフトはつい最近この欠陥について知ったため、詳細については説明しておらず、攻撃者がどのようにその脆弱性を悪用するかについてのみ解説している。攻撃者は、細工されたExcelドキュメント(.xlsファイル)をユーザがダウンロードし、それを閲覧するように仕向け、脆弱性を悪用しそのユーザの特権を獲得した状態でユーザのコンピュータでコードを実行できるようになる。また、ユーザがローカル管理者であった場合、攻撃者はそのユーザのコンピュータを完全に操作できるようになる。
攻撃者がこの脆弱性を一般において実際に悪用していることから、この欠陥はMicrosoft OfficeやExcelの利用者達にとって深刻なリスクである。マイクロソフトは脆弱性の修正パッチをリリースする予定でいるため、それまでは下記の対 策を講じ、この危険なゼロデイ攻撃のリスクを緩和させることをすすめる。
【対策】
マイクロソフトはこのゼロデイ脆弱性のパッチをまだ公開していないが、次の対策を講じれば一般の環境化で広まっているこの攻撃のリスクを軽減させることができるだろう。
ウォッチガード・ユーザ:
送信されてきたExcelファイルを阻止できるウォッチガードFireboxは多々あるが、大方の管理者はビジネス上そうしたファイル・タイプを許可している。しかし、ビジネス上どうしてもExcelファイルが必要であるというのでなければ、マイクロソフトがこうした脆弱性を修正するパッチを公開するまでは、FireboxのHTTPプロキシやSMTPプロキシを使って問題のファイルを阻止するオプションもある。Excelドキュメントをブロックするには、Fireboxプロキシのコンテンツ・ブロック機能で.xls拡張子を設定すること。
【ステータス】
マイクロソフトが修正パッチをリリースするまでは、先に説明した対策を実施することをすすめる。
【参考資料】
マイクロソフトのセキュリティ・アドバイザリ
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。
マイクロソフトがパッチをリリース
危険度:高
2009年4月14日
アップデート:
LiveSecurityでは、2月24日にExcelのゼロデイ脆弱性について警告した。攻撃者はこの脆弱性を悪用してユーザのコンピュータでコードを実行、そのコンピュータを完全に操作できるようになる可能性がある。この問題を最初に報告した時点で、攻撃者達はこの重大なセキュリティ問題をすでに一般の状況下で実際に悪用しており、LiveSecurityではマイクロソフトがこの問題に対応するパッチをリリース次第、アップデートで知らせると報告した。そして、マイクロソフトは4月のパッチ更新の一部としてそのパッチをリリースした。
マイクロソフトのセキュリティ情報は、以前取り上げられたExcelのゼロデイ欠陥と別の脆弱性、計2つの脆弱性について説明しているが、脆弱性に関する技術情報については詳しく説明されていない。マイクロソフトは、この欠陥をExcel が細工されたスプレッドシートを解析する方法に関与するメモリ破壊脆弱性とのみ説明している。攻撃者は、細工が施されたExcel スプレッドシート(.xls)をユーザが開くように誘導することに成功すると、どちらかの欠陥を悪用してユーザ・レベルの権限や、特権を得た状態でユーザのコンピュータでコードを実行することができるようになる。また、ユーザがローカル管理者であった場合、攻撃者はそのユーザのコンピュータを完全に操作できるようになる。
マイクロソフトはこのゼロデイ欠陥に対応するパッチをリリースしているので、それを至急インストールすることをすすめる。詳細については下記を参照。
対策:
マイクロソフトは、Office やExcel でこうした脆弱性を修正するパッチをリリースしている。状況に適したパッチを至急ダウンロードし、テストしてからネットワーク全体に導入することをすすめる。
Office または Excel 2007 ユーザがこのような脆弱性から完全に保護されるようにするには、Microsoft Office Compatibility Pack for Word, Excel, PowerPoint 2007 ファイル形式もインストールする必要がある。
ウォッチガード・ユーザ:
一時的にExcel スプレッドシート(.xls)をブロックするためにFireboxのプロキシ・ポリシーをカスタマイズしたことがある場合は、マイクロソフトのパッチをインストールした後にそのポリシーを除去することで、問題のないExcelドキュメントをユーザが再びダウンロードできるように許可することができる。この脆弱性の詳細については、2月24日付けのセキュリティ・アラートを参照することをすすめる。また、同記事はこちらからも閲覧可能。
Excel のゼロデイ脆弱性が一般の環境下で拡散
危険度: 高
2009年2月24日
【概要】
対象:
Windows版とMac版のMicrosoft Excel 最新版(Excel Viewer、Office Compatibility Packも含む)
攻撃方法:
細工したExcelスプレッドシートをユーザが開くように誘導
影響:
攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
対策:
この記事の「対策」で説明している対策を講じること
【詳細】
マイクロソフトは、米国時間の2月24日にリリースしたセキュリティ情報で 非常に深刻なExcelの脆弱性について警告した。攻撃者達はすでにインターネットでこの脆弱性の攻撃を開始しているが、修正パッチはまだ用意されていない。この脆弱性は、Windows版とMac版のMicrosoft Excel 最新版(Excel Viewer、Office Compatibility Packも含む)に影響している。
マイクロソフトはつい最近この欠陥について知ったため、詳細については説明しておらず、攻撃者がどのようにその脆弱性を悪用するかについてのみ解説している。攻撃者は、細工されたExcelドキュメント(.xlsファイル)をユーザがダウンロードし、それを閲覧するように仕向け、脆弱性を悪用しそのユーザの特権を獲得した状態でユーザのコンピュータでコードを実行できるようになる。また、ユーザがローカル管理者であった場合、攻撃者はそのユーザのコンピュータを完全に操作できるようになる。
攻撃者がこの脆弱性を一般において実際に悪用していることから、この欠陥はMicrosoft OfficeやExcelの利用者達にとって深刻なリスクである。マイクロソフトは脆弱性の修正パッチをリリースする予定でいるため、それまでは下記の対 策を講じ、この危険なゼロデイ攻撃のリスクを緩和させることをすすめる。
【対策】
マイクロソフトはこのゼロデイ脆弱性のパッチをまだ公開していないが、次の対策を講じれば一般の環境化で広まっているこの攻撃のリスクを軽減させることができるだろう。
- 脆弱性についてユーザに連絡
予期していないExcel (.xls)ドキュメントが添付されたメールには警戒するよう忠告すること。そのドキュメントがどうしても必要であるというのでもなく、また送信者を信頼することができない場合はマイクロソフトの修正パッチを取り入れるまで、そのドキュメントを開かない方がいいだろう。 - 最新版にアップデートしているウィルス対策ソフトウェア(AV)を使用
この悪質なExcelファイルを検出するシグネチャをすでに用意しているAVベンダーもいる。まだ対応していないベンダーも近いうちにそうしたシグネチャを提供するだろう。 - 信頼できないExcelドキュメントを開く場合はMOICE(Microsoft
Office Isolated Conversion Environment)を使用
MOICEはマイクロソフトのアドオンで、WordやExcel、PowerPointのバイナリ形式ファイルを安全に開くための特別な環境を提供できる。MOICE使用の詳細については、マイクロソフトのセキュリティ情報にある「推奨するアクション」の欄を参照することをすすめる。 - Fireboxのようなゲートウェイ・デバイスを使用してExcelを遮断する
ユーザがExcelファイルをダウンロードすることができなければ、こうした悪用の影響を受けることはないのだが、残念ながらそうすることで正常なExcelファイルも阻止してしまうことになる。ビジネス環境のニーズによってはマイクロソフトが修正パッチをリリースするまでExcelファイルをブロックしておいた方がいい場合もあるだろう。
ウォッチガード・ユーザ:
送信されてきたExcelファイルを阻止できるウォッチガードFireboxは多々あるが、大方の管理者はビジネス上そうしたファイル・タイプを許可している。しかし、ビジネス上どうしてもExcelファイルが必要であるというのでなければ、マイクロソフトがこうした脆弱性を修正するパッチを公開するまでは、FireboxのHTTPプロキシやSMTPプロキシを使って問題のファイルを阻止するオプションもある。Excelドキュメントをブロックするには、Fireboxプロキシのコンテンツ・ブロック機能で.xls拡張子を設定すること。
- 10.xを使用しているFirebox X Edge:
- Fireware 10.xを使用しているFirebox X CoreとX Peak:
【ステータス】
マイクロソフトが修正パッチをリリースするまでは、先に説明した対策を実施することをすすめる。
【参考資料】
マイクロソフトのセキュリティ・アドバイザリ
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。