New Wave of Malware Targets Unpatched Microsoft Office

通常、誰かがプログラムのエクスプロイトを発見すると、パッチを適用するための修正プログラムがリリースされます。このライフサイクルにより、これらのエクスプロイトは、発見から修正までの寿命が比較的短くなります。そのため、特にパッチがリリースされて修正された後も、人気のあるプログラムの古い欠陥がまだラウンドを続けていることは非常に珍しいことです。

これが、MicrosoftOfficeの古いエクスプロイトが依然としてインターネットを巡回していることが非常に注目に値する理由です。 2018年には3番目に蔓延した攻撃にさえなりました。問題は、このエクスプロイトが2017年に修正され、今日でも被害を及ぼしていることです。

エクスプロイトとは何ですか？

このエクスプロイトの名前は「CVE-2017-11882」とは言い難いものです。与えられたメモリを正しく処理しなかったOfficeの一部を悪用しました。このエクスプロイトを使用すると、ハッカーはOfficeにコードを実行させる可能性があります。さらに悪いことに、被害者が管理者権限を持っている場合、エクスプロイトを使用してコンピュータ自体を制御する可能性があります。

このエクスプロイトがOfficeのコピーを攻撃するには、ハッカーはユーザーにWord内で感染したファイルを開くように説得する必要があります。これは、エクスプロイトが、感染したテキストファイルを開くのに十分な好奇心をそそる詐欺を通じて最もよく広がることを意味します。ハッカーは、ドキュメントを含む偽のWebサイトを設定して、それが重要なドキュメントであると主張したり、ユーザーにファイルのダウンロードを求めるメールを送信したりできます。通常は、今すぐ読む必要があると主張します。

新しいエクスプロイトキャンペーンはどのように機能しますか？

ヨーロッパ言語の電子メールを使用したアクティブなマルウェアキャンペーンは、RTFファイルを配布します。 CVE-2017-11882エクスプロイトを実行します。これにより、攻撃者はユーザーの操作を必要とせずに悪意のあるコードを自動的に実行できます。 pic.twitter.com/Ac6dYG9vvw

— Microsoft Security Intelligence（@MsftSecIntel）2019年6月7日

この新しい攻撃の波は、RTFファイルが添付された電子メールがヨーロッパ言語で送信されることを示しています。ユーザーがファイルをダウンロードして開くと、スクリプトをダウンロードして実行するコードが実行されます。これらのスクリプトはOffice内のバックドアを開き、コマンドセンターへの接続を開きます。

なぜ戻ったのですか？

攻撃者が2017年に「修正」されたエクスプロイトを繰り返している理由については、この特定の攻撃の波に何が影響を与えたのかは不明です。これは、この種の攻撃が修正リリース日から2年経っても成功していることが原因である可能性があり、ハッカーが標的とする「安全な賭け」です。

「CVE-2017-11882の脆弱性は2017年に修正されましたが、今日でも攻撃のエクスプロイトが観察されています」とMicrosoftはTwitterアカウントで述べています。 「特に、過去数週間で活動が増加しました。セキュリティアップデートを適用することを強くお勧めします。」

エクスプロイトを修正する方法

上記のツイートのように、修正は何年もの間利用可能です。残念ながら、この修正は今日でも完全には展開されていませんでした。これが修正プログラムを「適切に」配布しなかったのはMicrosoftの責任なのか、2年間準備ができているこの更新をスキップしたのはユーザーの責任なのかについて議論される可能性があります。しかし、今重要なのは、Officeソフトウェアをすぐに更新する必要があるということです。

これを行うには、WordなどのOfficeアプリケーションを開きます。トップメニューで[ヘルプ]、[アップデートの確認]の順にクリックします。次に、Officeは、不足している更新を検索してダウンロードする必要があります。これには、上記の問題の修正がまだない場合も含まれます。

オールドハックはダイハード

最近のOfficeベースの攻撃の波は奇妙なものです。これは、2年前に「あるべきだった」問題であるためです。 Officeを最後に更新した時刻を思い出せない場合は、パッチが適用されていることを確認するために簡単に確認してください。

これらの古いエクスプロイトがソフトウェア内で繰り返し発生するのを防ぐための最良の方法は何ですか？以下にお知らせください。