脆弱性

[2023-08-14 更新] 脅威の概要: Microsoft OfficeおよびWindows HTMLにおけるリモート コード実行の脆弱性(CVE-2023-36884)

Clock Icon 2 min read

This post is also available in: English (英語)

概要

Microsoftは7月の月例セキュリティ更新プログラムを公開しました。この月例更新では「OfficeおよびWindows HTMLにおけるリモート コード実行のゼロデイ脆弱性(CVE-2023-36884)」が公開されており、その深刻度は「重要(Critical)」と評価されています。Microsoftはすでに、特別な細工をしたMicrosoft Officeドキュメントにより同脆弱性が野生(in the wild)で実際に悪用されているようすを観測しています。このエクスプロイトには、ユーザーが悪意のあるドキュメントを開く必要があることに注意してください。

Unit 42の脅威インテリジェンス チームはこの脆弱性が遅くとも2023年7月3日時点ですでに悪用がされていたことを確認しています。現在も継続して行われている分析が済みしだい本脅威概要は更新されます。

Microsoft は本脆弱性の実行につながる攻撃チェーンを防止する Microsoft Office 用セキュリティ更新プログラムを公開しました。Microsoft は、本更新プログラムを適用できない場合、エクスプロイト防止のために Officeアプリケーションによる子プロセスの作成をブロックするか、FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATIONレジストリ キーを設定することを推奨しています。詳しくは同社のセキュリティ更新プログラム ページをご覧ください。

パロアルトネットワークスのお客様は、以下の方法でCVE-2023-36884の脆弱性に対する保護と緩和を受けています。

  • 同脅威を含むさまざまな脅威に対し個別の支援を必要とされる場合は Unit 42 のインシデントレスポンスチームをご用命いただけます。
  • Cortex XDR と XSIAM エージェントは、CVE-2023-36884 のエクスプロイトに関連するエクスプロイト後のアクティビティからの保護に役立ちます。また、Windows 環境の RomCom バイナリーをローカル分析によって検出します。
  • Cortex XDR は CVE-2023-36884 に対する公知のエクスプロイト チェーンを防止します。
  • Advanced WildFire は、高い回避能力をもつマルウェアが関与する攻撃の検出・防止に役立ちます。
  • Advanced Threat Preventionセキュリティ サブスクリプションを有効にしている次世代ファイアウォール製品は、関連するペイロードと攻撃のブロックに役立ちます。
  • クラウド配信型セキュリティ サービスは、本アクティビティに関連付けられた C2 ドメインを「悪意のあるもの (malicious)」として分類できます。

Unit 42は、新たな情報、PoC(概念実証)コードの公開、さらなるエクスプロイト蔓延の痕跡について引き続き状況を監視していきます。本脆弱性に関する詳細情報ならびに緩和策が明らかになりしだい本稿は更新されます。

本稿で扱う脆弱性 CVE-2023-36884, RomCom RAT

脆弱性の詳細

Microsoftは7月の月例セキュリティ更新プログラムを公開しました。この月例更新では「OfficeおよびWindows HTMLにおけるリモート コード実行のゼロデイ脆弱性(CVE-2023-36884)」が公開されており、その深刻度は「重要(Critical)」と評価されています。Microsoftはすでに、特別な細工をしたMicrosoft Officeドキュメントにより同脆弱性が野生(in the wild)で実際に悪用されているようすを観測しています。

これまでに観測されたエクスプロイト例はすべて、ユーザーが悪意のあるドキュメントを開く必要があることに注意してください。ユーザーが悪意のあるドキュメントを開くと、スクリプトを1つ含むファイルがダウンロードされます。このスクリプトが iframe インジェクションを開始し、その結果、悪意のあるペイロードがダウンロードされます。ベースとなった脆弱性がその配信にあたってオフィス文書を利用していたのかどうかは現時点では不明です。この脆弱性のエクスプロイトが、なんらかの未確認の配布メカニズムを使って行われていた可能性はあります。たとえば Microsoft のセキュリティ アドバイザリーでは、あるレジストリキー以下に 9 つのアプリケーションを追加することにより、それらのアプリケーションに「信頼されないゾーン (例: インターネット ゾーンや制限されたサイトのゾーン) 」を発信元として file: プロトコルを使う URL をブロックさせることを推奨していますが、この追加推奨アプリケーションの 1 つにwordpad.exe があがっています。

現在の攻撃スコープ

Unit 42の脅威インテリジェンス チームはこの脆弱性が遅くとも2023年7月3日時点ですでに悪用がされていたことを確認しています。この脆弱性の初期のエクスプロイトには Microsoft が 2023 年 7 月 11 日に報告したRomCom マルウェアの使用が含まれています。RomCom は、2022 年 5 月に Unit 42 が最初に観測したマルウェア ファミリーです。攻撃のボリュームは低く、過去 1 年を通じ、ランサムウェア攻撃やスパイ活動に関連する標的型攻撃などのさまざまな攻撃で観測されてきました。リモート アクセス型トロイの木馬 (RAT) として動作し、攻撃者にディレクトリーの一覧表示、ファイルシステムの改ざん、ファイルのアップロードやダウンロード、プロセスの実行などをはじめ、さまざまな機能を提供します。

中間ガイダンス

Microsoft はエクスプロイト防止のため、Office アプリケーションによる子プロセスの作成をブロックするか、FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION レジストリ キーを設定することを推奨しています。詳しくは同社のセキュリティ更新プログラム ページをご覧ください。

結論

公開された情報が多さや現在のリサーチや分析の結果から、Microsoft Office 用セキュリティ更新プログラムを同社のガイダンスに従って適用し、組織を保護することを強く推奨します。パロアルトネットワークスとUnit 42は、新たな情報、PoC(概念実証)コードの公開、さらなるエクスプロイト蔓延の痕跡について引き続き状況を監視していきます。 

パロアルトネットワークスのお客様は、次の各製品とサービスによってこの脅威から保護されています。より詳細な情報が利用可能になりしだい、本稿は更新されます。

パロアルトネットワークスは、ファイル サンプルやIoC(侵害指標)をふくむ調査結果をCyber Threat Alliance (CTA: サイバー脅威アライアンス)のメンバーと共有しました。CTA のメンバーはこのインテリジェンスを使って、お客様に保護を迅速に提供し、悪意のあるサイバー脅威アクターを体系的に阻害できます。詳細については Cyber Threat Allianceにてご確認ください。

パロアルトネットワークス製品によるCVE-2023-36884からの保護

パロアルトネットワークスのお客様には、弊社製品/サービスの保護・更新を通じ、同脅威の特定・防御が提供されています。

Unit 42によるインシデント対応

侵害の懸念があり弊社にインシデントレスポンスに関するご相談をなさりたい場合は、こちらのフォームからご連絡いただくか、infojapan@paloaltonetworks.comまでメールにてご連絡いただくか、下記の電話番号までお問い合わせください(ご相談は弊社製品のお客様には限定されません)。

  • 北米フリーダイヤル: 866.486.4842 (866.4.UNIT42)
  • 欧州: +31.20.299.3130
  • アジア太平洋: +65.6983.8730
  • 日本: +81.50.1790.0200

Advanced Wildfire

Advanced WildFireは複数の技術 (自動アンパック、依存関係エミュレーション、ランタイム メモリー分析、機械学習、静的分析、動的分析、ヒューリスティック分析など) を使用し、RomCom マルウェアをはじめ高い回避能力をもつマルウェアやその亜種を検出し、それらから保護します。

Advanced Threat Prevention を有効にした次世代ファイアウォールと Prisma Access

Advanced Threat Prevention セキュリティ サブスクリプションを有効にした 次世代ファイアウォール (NGFW-series) は関連するペイロードと攻撃を次の Threat Prevention signatures により防止できます: 86775, 86776, 86777

次世代ファイアウォールのクラウド配信型セキュリティサービス

この悪意のあるアクティビティに関連する関連するコマンド&コントロール (C2) ドメイン Advanced URL FilteringDNS Security によって「悪意があるもの (malicious)」として分類されます。

Cortex XSOAR

Cortex XSOARCVE-2023-36884 に対応するレスポンス パックとプレイブックを公開し、緩和プロセスの自動化、迅速化を支援します。

このプレイブックは以下のタスクを自動化します。

  • 侵害の指標 (IoC) のダウンロードとハンティング
  • エクスプロイト パターンの一部であると識別された振る舞いに関連する脅威ハント用クエリ
  • Microsoft の緩和策

本プレイブックは手動で開始することもジョブとして実行することもできます。

Cortex XDRとCortex XSIAM

Cortex XDRCortex XSIAM エージェントはBTP (振る舞い脅威防御)、複数の保護モジュール、Cortex Analytics を使用した不審なアクティビティの検出 Windows環境の RomCom バイナリーのローカル分析検出などを使うことで、本稿で解説したエクスプロイト後のアクティビティからの保護に役立ちますCortex XDR は CVE-2023-36884 に対する公知のエクスプロイト チェーンを防止します。

IoC

  • a61b2eafcf39715031357df6b01e85e0d1ea2e8ee1dfec241b114e18f7a1163f
  • e7cfeb023c3160a7366f209a16a6f6ea5a0bc9a3ddc16c6cba758114dfe6b539
  • 3a3138c5add59d2172ad33bc6761f2f82ba344f3d03a2269c623f22c1a35df97
  • 48142dc7fe28a5d8a849fff11cb8206912e8382314a2f05e72abad0978b27e90
  • 07377209fe68a98e9bca310d9749daa4eb79558e9fc419cf0b02a9e37679038d
  • 5f40cb4852ec50ee24f3cd951a172c725d02012d17dd645b6ce22d324aa140ad
  • 1a7bb878c826fe0ca9a0677ed072ee9a57a228a09ee02b3c5bd00f54f354930f
  • 0501d09a219131657c54dba71faf2b9d793e466f2c7fdf6b0b3c50ec5b866b2a
  • 74.50.94[.]156 
  • 94.232.40[.]34
  • 66.23.226[.]102
  • 104.234.239[.]26
  • 65.21.27[.]250
  • finformservice[.]com
  • altimata[.]org
  • penofach[.]com
  • bentaxworld[.]com
  • wexonlake[.]com
  • ukrainianworldcongress[.]info

2023-07-14 17:30 JST 英語版更新日 2023-07-13 15:00 PDT の内容を反映し、Advanced Wildfire の保護に関する情報を追記

2023-07-14 17:30 JST 英語版更新日 2023-07-13 20:45 PDT の内容を反映し、修正プログラムの状況と検出ガイダンスに関する情報を追記 

2023-07-18 11:30 JST 英語版更新日 2023-07-14 11:58 PDT の内容を反映し、次世代ファイアウォールおよびクラウド配信型セキュリティ サービスによる保護情報を追記。Cortex XDRとXSIAMの保護情報を更新。詳細、攻撃スコープ、中間ガイダンス、脅威ハント用クエリーを追記。IoC の一覧を追記。 

2023-07-18 11:30 JST 英語版更新日 2023-07-17 16:15 PDT の内容を反映し、Cortex XSOAR に関連する情報を追記

2023-08-09 09:50 JST 英語版更新日 2023-08-09 10:35 PDT の内容を反映しMicrosoft が公開したセキュリティ更新プログラムに関する情報を追記

2023-08-14 10:38 JST 英語版更新日 2023-08-10 10:25 PDT の内容を反映し、Cortex XDR による保護情報を追記

Enlarged Image