ニュース

Office数式エディタのRCE脆弱性を悪用したマルウェアが登場、IPAが注意喚起

Fortinetがマルウェア「Cobalt」を報告

 Microsoft Officeに付属する数式エディタにおけるスタックベースのバッファオーバーフロー脆弱性を悪用したマルウェアが確認されたとして、独立行政法人情報処理推進機構(IPA)が注意を促している。

 脆弱性「CVE-2017-11882」は、細工を施したWordファイルを開くことで、リモートからファイルを開いたユーザーの権限で任意のコードを実行される危険性があるもの。Microsoftでは11月分の月例セキュリティ更新プログラムでこの脆弱性を修正しているが、11月21日には、この脆弱性の悪用を可能とする実証コードがインターネット上で配布されていた。

 脆弱性の対象となるのはOffice 2016/2013/2010/2007だが、脆弱性を発見した米Embediの研究者によれば、数式エディタの実行ファイル「eqnedt32.exe」は、2000年に作成されて以降、一度も改訂されておらず、サポートが終了しているOffice 2003/XP/2000も対象になるとみられる。

 米Fortinetによれば、脆弱性を悪用する「RTFファイル」を添付したメールはロシア語で、Visaが提供する電子マネー「Visa payWave」の関連メールを偽装。ファイルには本文中に記載されたパスワードがかけられており、サンドボックスでの検出を避けるという。

 ファイルを開くとバックグラウンドでPowerShellスクリプトが実行され、侵入テスト用のツール「Cobalt Strike」のコンポーネントをインストールさせるため、Fortinetではこのマルウェアを「Cobalt」と命名している。

 JPCERT/CCによれば、数式エディタ「eqnedt32.exe」は、Officeアプリに対する保護の範囲外となるため、「EMET」や「Windows Defender Exploit Guard」などの保護機構が働かない。

 IPAでは、数式エディタを無効化する回避策も案内している。Microsoftのサポートページによれば、特定のレジストリサブキーのDWORD値を変更することで、無効化が可能となっている。