マクロ無効でも悪用可能 Microsoft Officeの新たなゼロデイ「Follina」 | Codebook|Security News

セキュリティ/サイバーインテリジェンス最新トレンドをご紹介

Codebook|Security News > Articles > Cyber Alert > マクロ無効でも悪用可能 Microsoft Officeの新たなゼロデイ「Follina」

マクロ無効でも悪用可能 Microsoft Officeの新たなゼロデイ「Follina」

記事のポイント

・Microsoft Officeがマクロ無効の状態でも有害なコードを実行してしまう、重大な脆弱性「Follina(CVE-2022-30190)」が話題になっている。

・Follinaが実際に悪用された例は、すでに複数確認されている。

・マイクロソフトはワークアラウンドを発表済み。米国CISAも31日にワークアラウンドの適用を促した。

・マイクロソフトの発表前から、Follinaはセキュリティ研究者のツイートやブログを起点に話題になっていた。

 

ゼロデイ脆弱性「Follina」とは

Microsoft Officeが有害コードをマクロ無効の状況下でも実行してしまうという重大な脆弱性、通称「Follina」が話題になっている。

マイクロソフトは5月30日、「Windowsサポート診断ツール(MSDT)におけるリモートコード実行の脆弱性」[1]という表現を使って、Follinaの存在を公表した。同社は、同脆弱性にCVE-2022-30190を割り当て、詳細について以下のように説明している。

 

Wordなどの「呼び出し元のアプリ(calling application)」のURLプロトコルを使用してMSDTが呼び出される場合に、リモートコード実行の脆弱性が存在します。攻撃者はこの脆弱性を上手く悪用すれば、任意のコードを、呼び出し元のアプリの権限のもとで実行できます。その後、攻撃者はユーザーの権限が許す状況において、プログラムをインストールしたり、データを閲覧、変更、削除したり、新たなアカウントを作成したりすることができます。(筆者による翻訳)

 

同社は、この脆弱性が実際に悪用されていることを確認済みで、同日にワークアラウンドを公表している。ワークアラウンドについては、米国CISAも31日発表の注意喚起の中で適用を促している[2]

 

公表までの経緯

そもそもFollinaは、30日の公式発表より前から、海外セキュリティメディアや研究者らの間で騒がれていた。騒ぎの発端は、1件のTwitter投稿だった。

27日夜、興味深い有害ドキュメントがベラルーシからVirus Totalにアップロードされたと、セキュリティリサーチチームの「nao_sec」(@nao_sec)がツイートした。

 

@nao_secのツイートのスクリーンショット

29日には、このツイートに反応する形で、セキュリティ研究者のKevin Beaumont氏がブログを公表[3] 。ブログによると、@nao_secの言うドキュメントは、Wordのリモートテンプレート機能を使ってリモートのWebサーバーからHTMLファイルを引き出し、このHTMLファイルはms-msdtを使ってコードをロードし、PowerShellを実行するという。

またBeaumont氏は、@nao_secがTwitterにアップしたコードをデコードし、ブログで解説した。解説によれば、Microsoft Wordはこのコード(コマンドライン文字列)を、マクロスクリプトが無効な場合であっても、MSDTを使って実行するという。さらに、「確かに保護ビューは作動するが、ドキュメントをRTF形式に変更すれば、コードは保護ビューどころかドキュメントを開かなくても(エクスプローラー内のプレビュータブを使って)実行される」とも指摘した。

通常、Microsoft Officeを使った攻撃では有害コードの実行にマクロが悪用されるため、マクロの無効化が重要な対策の1つである。しかしFollinaを悪用すれば、この対策をすり抜けることができてしまう。

 

悪用の実例

Follinaが実際に悪用された例は、すでに複数報告されている。たとえば次のようなものだ。

 

・2022年4月:ラジオ・スプートニクの話題を利用した、ロシアのユーザーを狙うファイルがVirusTotalにアップロードされた。

・4月:ロシアをテーマにした別のドキュメントが出回る。

・4月以前?:地位を利用した性的暴行の告発を利用して標的の興味をひこうとするドキュメントもFollinaを悪用。

(*Beaumont氏のブログを参考に筆者作成)

 

また、Proofpointは6月1日のツイートで、中国の脅威アクター「TA413」もFollinaを悪用していると報告した。このキャンペーンはチベット亡命政府(Central Tibetan Administration)を装ったものだということ。

Proofpointのツイート

なお、ラジオ・スプートニクのドキュメントについては、4月12日にマイクロソフトへ報告されていた。報告者は、APTの特定と分析を専門とする学生の団体「Shadow Chaser Group」のリーダー「@CrazymanArmy」で、@CrazymanArmyのツイートによると、マイクロソフトの担当者は当時、「セキュリティ関連の問題ではない」と返答していた模様だ。

また、5月30日には、セキュリティ研究者のCas van Cooten氏(@chvancooten)が、テスト用のPoCエクスプロイトをGitHub上に公開している。

 

影響を受ける範囲

現時点で複数のセキュリティ研究者が、Office 2013、2016、2019、2021、Office ProPlusでFollinaを確認済みである。

マイクロソフトのワークアラウンドは、公式サイト(参考の[4])に掲載されている。

今後も引き続き、パッチのリリースなどについて、情報を注視していく必要がありそうだ。

 

(作成:Machina Record Translation Team)

 

この記事の作成にあたり、

OSINTツール「Silobreaker」のダッシュボード、アラートを使用しました。

Silobreakerについて:「インテリジェンスツール”Silobreaker”で見える世界」

https://codebook.machinarecord.com/6077/

サイバーアラート(5月30日 公開)

https://codebook.machinarecord.com/19709/

 

参考

[1] Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution Vulnerability

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190

[2] Microsoft Releases Workaround Guidance for MSDT “Follina” Vulnerability

https://www.cisa.gov/uscert/ncas/current-activity/2022/05/31/microsoft-releases-workaround-guidance-msdt-follina-vulnerability

[3] Follina — a Microsoft Office code execution vulnerability

https://doublepulsar.com/follina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e

[4] Guidance for CVE-2022-30190 Microsoft Support Diagnostic Tool Vulnerability

https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/