Microsoft Officeの ActiveX コントロールに見られるゼロデイ脆弱性 2009年7月13日
Microsoft Officeの ActiveX コントロールに見られるゼロデイ脆弱性
危険度: 高
2009年7月13日
【概要】
対象:
ほぼ全てのMicrosoft Office バージョン (Biztalk /ISA Serverも対象)
攻撃方法:
細工したウェブページにユーザを誘導する
影響:
攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
対策:
この記事の「対策」で説明している回避策を講じること
【詳細】
米国時間の7月13日にリリースしたセキュリティ・アドバイザリで、マイクロソフトは深刻なActiveX コントロールの脆弱性について警告した。ActiveX コントロールは、ほぼ全てのバージョンのMicrosoft Officeに搭載されているほか、この脆弱性に対応するパッチは用意されていない。ActiveX コントロールはMicrosoft Biztalkや ISA Server、Office Accounting 、Business Contact Manager などでも使われている。
マイクロソフトは攻撃者がこの脆弱性を実際に悪用しているのを一般の状況下で見て知ったため、この欠陥は Office Web Components (OWC) に搭載されているSpreadsheet ActiveX コントロールに関与していると警告しているが、その他の詳細については説明していない。
OWC は Office の現バージョン全てに搭載されているが、このコンポーネントはOffice 2007 においてはデフォルトでインストールされていない。この欠陥はActiveX コントロールに影響しているため、攻撃者はインターネット・エクスプローラ(IE)経由で悪用することができる。攻撃者は悪質なウェブサイトにユーザを誘導することでこの脆弱性を利用し、ユーザの権限を獲得した状態でそのユーザのコンピュータでコードを実行する。また、ユーザにローカル管理者のアクセス権がある場合、攻撃者は欠陥を悪用してユーザのコンピュータを完全に操作できるようにもなる。
攻撃者がこの脆弱性を一般において実際に悪用していることから、この欠陥は大方のMicrosoft Office ユーザ達にとって深刻な脅威である。このため、パッチが用意されるまでは下記の対策を講じ、この危険なゼロデイ攻撃のリスクを緩和することをすすめる。
【対策】
マイクロソフトはこのゼロデイ脆弱性のパッチをまだ公開していないが、IE の脆弱な OWC ActiveX コントロール無効にする "Fix it" という回避策はリリースしている。IE で Office スプレッドシートを処理できなくても構わないというのであれば、マイクロソフトがパッチをリリースするまで、この"Fix it"回避策を講じることをすすめる。
マイクロソフトが修正パッチを公開次第、連絡する。
ウォッチガード・ユーザ:
マイクロソフトによる "Fix it" を利用することが主な対策となる。しかし、ウォッチガードの GAV/IPS サービスには脆弱なActiveX コントロールを呼び出すウェブサイトを検知し、それをブロックするシグネチャが備えられているので、GAV/IPS サービスを取り入れている Firebox を管理している場合は、それを使ってこのゼロデイ悪用のリスクを緩和させることもできる。
【ステータス】
マイクロソフトは修正パッチをリリースする予定。それまでは先に説明した対策を実施することをすすめる。
【参考資料】
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。
危険度: 高
2009年7月13日
【概要】
対象:
ほぼ全てのMicrosoft Office バージョン (Biztalk /ISA Serverも対象)
攻撃方法:
細工したウェブページにユーザを誘導する
影響:
攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
対策:
この記事の「対策」で説明している回避策を講じること
【詳細】
米国時間の7月13日にリリースしたセキュリティ・アドバイザリで、マイクロソフトは深刻なActiveX コントロールの脆弱性について警告した。ActiveX コントロールは、ほぼ全てのバージョンのMicrosoft Officeに搭載されているほか、この脆弱性に対応するパッチは用意されていない。ActiveX コントロールはMicrosoft Biztalkや ISA Server、Office Accounting 、Business Contact Manager などでも使われている。
マイクロソフトは攻撃者がこの脆弱性を実際に悪用しているのを一般の状況下で見て知ったため、この欠陥は Office Web Components (OWC) に搭載されているSpreadsheet ActiveX コントロールに関与していると警告しているが、その他の詳細については説明していない。
OWC は Office の現バージョン全てに搭載されているが、このコンポーネントはOffice 2007 においてはデフォルトでインストールされていない。この欠陥はActiveX コントロールに影響しているため、攻撃者はインターネット・エクスプローラ(IE)経由で悪用することができる。攻撃者は悪質なウェブサイトにユーザを誘導することでこの脆弱性を利用し、ユーザの権限を獲得した状態でそのユーザのコンピュータでコードを実行する。また、ユーザにローカル管理者のアクセス権がある場合、攻撃者は欠陥を悪用してユーザのコンピュータを完全に操作できるようにもなる。
攻撃者がこの脆弱性を一般において実際に悪用していることから、この欠陥は大方のMicrosoft Office ユーザ達にとって深刻な脅威である。このため、パッチが用意されるまでは下記の対策を講じ、この危険なゼロデイ攻撃のリスクを緩和することをすすめる。
【対策】
マイクロソフトはこのゼロデイ脆弱性のパッチをまだ公開していないが、IE の脆弱な OWC ActiveX コントロール無効にする "Fix it" という回避策はリリースしている。IE で Office スプレッドシートを処理できなくても構わないというのであれば、マイクロソフトがパッチをリリースするまで、この"Fix it"回避策を講じることをすすめる。
マイクロソフトが修正パッチを公開次第、連絡する。
ウォッチガード・ユーザ:
マイクロソフトによる "Fix it" を利用することが主な対策となる。しかし、ウォッチガードの GAV/IPS サービスには脆弱なActiveX コントロールを呼び出すウェブサイトを検知し、それをブロックするシグネチャが備えられているので、GAV/IPS サービスを取り入れている Firebox を管理している場合は、それを使ってこのゼロデイ悪用のリスクを緩和させることもできる。
【ステータス】
マイクロソフトは修正パッチをリリースする予定。それまでは先に説明した対策を実施することをすすめる。
【参考資料】
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。