・CVE-2017-11882 Officeの数式エディタの脆弱性を使った攻撃 の変更点
Top/・CVE-2017-11882 Officeの数式エディタの脆弱性を使った攻撃
- 追加された行はこの色です。
- 削除された行はこの色です。
- ・CVE-2017-11882 Officeの数式エディタの脆弱性を使った攻撃 へ行く。
- ・CVE-2017-11882 Officeの数式エディタの脆弱性を使った攻撃 の差分を削除
#author("2020-08-20T14:18:11+09:00","","") #author("2020-08-20T14:55:02+09:00","","") [[FrontPage]]~ [[サイバー攻撃の実態>情報システム開発契約のセキュリティ仕様作成のためのガイドライン(案)#ra8ee63d]]~ [[・攻撃ベクトルの研究]]~ ~ 本稿は、FIREEYE社の脅威調査: https://www.fireeye.com/blog/threat-research/2017/12/targeted-attack-in-middle-east-by-apt34.html を参考にしました。 *攻撃に利用された脆弱性[#mcd8f712] -CVE-2017-11882 :https://www.ipa.go.jp/security/ciadr/vul/20171129_ms.html~ 以下に搭載された数式エディタのスタックベースのバッファーオーバーフローを悪用したものです。 --Office 2007 SP3 --Office 2010SP2(32/64bit) --Office 2013SP1(32/64bit) --Office 2016(32/64bit) *攻撃のフロー [#h0a5c88f] &ref(https://www.softwareisac.jp/ipa/image/data/CVE201711882a.jpg); ~ *ワークフローで使用されたコンポーネント [#s288e7fc] |CENTER:名前|CENTER:役割|h |PowerShell|標準スクリプト言語| |MSHTA.EXE|Microsoft HTML Application Host、HTAファイルの実行エンジン| |VBScript|Windows標準スクリプト言語| |CERTUTIL.EXE|Windows標準コマンド:証明書ユーティリティ| |SCHTASKS.EXE|Windows標準コマンド:タスクスケジューラ| *手口 [#y8ca9178] +攻撃者は、リッチテキストフォーマットに細工をした数式を埋め込みターゲットにメールの添付ファイルとして送信します。 +受信者が添付ファイルを開くと、受信者の脆弱な数式エディターが起動し数式を読み込みますが、この際、数式エディターがデータ長を正しくチェックしないため、スタックメモリが破壊され、悪意のあるプログラムが実行されます。 +悪意あるプログラムは、WinExec関数を呼び出し、受信者のコンテキストで子プロセス「mshta.exe」を呼び出します。「mshta.exe」は外部サイトからテキストファイルに見せかけた悪意あるPowerShellスクリプトをダウンロードし実行します。 +悪意あるPowerShellスクリプトは、さらにテキストファイルに見せかけたVBScriptをダウンロードし、実行します。 +VBScriptは、C:\ProgramData\Windows\Microsoft\java\ に4つのコンポーネントをダウンロードします。 +このうちBase64でエンコードされた2つのコンポーネントは、証明書関連の正規のユーティリティである Certutil.exe を利用しデコードし、PowerShellスクリプトに変換されます。 +残りの2つのファイルの内、バッチファイルが永続化のためのVBScriptをタスクスケジューラに登録します。 +定期的に起動されるPowerShell スクリプトは、C&Cサーバーと通信し、追加の悪意あるコンポーネントダウンロードします。 *設定対策 [#i855d30d] 本件は、PowerShellの実行ポリシーを禁止にするべきか、署名済みスクリプトのみ許可する、とし、環境評価によって、VBScriptの実行停止、もしくは、コマンドラインのブラックリスト化を行うことで、十分に抑止できたと考えられます。 +ユーザーにローカル管理者権限を与えない。 +Officeの数式エディターの脆弱性アップデート。 +グループポリシーによるPowerShellの実行ポリシーの制御(停止、署名済みのみ許可等)。 +AppLocker、Defender Application制御を使ったMSHTA.EXE、CERTUTIL.EXE、SCHETASKS.EXEの実行制御。 +Registry設定によるVBScriptエンジン(WSCRIPT.EXE、CSCRIPT.EXE)の停止、署名のみ許可設定。