Follinaのプロトコル

ほぼこもセキュリティニュース By Terilogy Worx

Follinaと名付けられた攻撃手法が公開されています。
Windows環境で実行可能なリモートコード実行です。

よく見るリモートコード実行では、HTTPなどの通信プロトコルが使われます。
その通信プロトコルで問題のある内容をプログラムに流し込み、プログラムの意図しない動作を実現します。
このため、従来のセキュリティ対策では、リモートコード実行に悪用できるような通信プロトコルに焦点をあわせて対策が提供されます。

しかし、Follinaのアプローチは異なりました。
ここで注目されたプロトコルは「ms-msdt」でした。
msdtとはなんでしょう。
msdtはMicrosoft Support Diagnostics Toolです。
サポートプロフェッショナルが問題を解決や分析するために、トラブルシューティングと診断データの収集に使用されるユーティリティです。
その情報収集の実効性のため、この機構はマクロが無効になっている環境においても機能します。

マイクロソフトオフィス製品には保護ビューという機能があります。
外部から入手して開いたファイルに対してマクロが有効でない状態で開かれ、このことが一定の安全機構として利用できる機能です。
しかしmsdtは問題解決用の機構です。
保護ビューの状態でも機能します。
RTF形式(リッチテキストフォーマット)のドキュメントにこのms-msdtを使った内容を仕込んでおけば、保護ビューどころかそのファイルを開かなくてもエクスプローラーでフォーカスするだけでエクスプローラー内でプレビューが動作し、そのプレビュー動作時にms-msdtで書かれた機構が自動動作します。

正しく表現しようとしたためにわかりにくくなっているかもしれません。
誤解を招くことを承知で端的に表すとこういうことです。

ms-msdtは、マクロが無効でもクリックをしなくてもリモートコード実行ができてしまう攻撃に悪用できます。

この問題はすでに実際の環境で悪用されていることが確認されています。
In the wildです。
対策が必要です。
しかしこの問題は現時点ではいつもの対応だけでは対応できません。
最新のオフィス製品では対策が提供されていますが、他のオフィス製品ではまだ対策が提供されていません。
このため、Office 2016やOffice2021などを使っている場合、まだ修正パッチでの対策はできません。

現時点で選択できる緩和策は次の通りです。

  • 関連付けを変更する
    ms-msdtのファイルタイプの関連付けを削除します。
    レジストリエディタを使うなどして、ms-msdtが機能できない設定状態に変更します。
  • MicrosoftDefenderの機能を使用する
    攻撃対象領域削減(ASR)ルールという機能がMicrosoftDefenderには搭載されています。
    このなかの「すべてのOffice アプリケーションによる子プロセスの作成をブロックする」というルールを有効にします。

いずれも、脅威の緩和に加えて通常利用できている機能が利用できなくなる内容となっています。
その影響の大きさは利用者の普段使用している機構に依存します。
これは恒久対策ではありません。緩和策のひとつです。

恒久対策は、ベンダーが修正を提供開始し、利用者がそれを適用して初めて完了します。
はやく大丈夫な状態にしたいものです。

参考記事(外部リンク):Rapid Response: Microsoft Office RCE – “Follina” MSDT
Attack

www.huntress.com/blog/microsoft-office-remote-code-execution-follina-msdt-bug

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。