Internet Explorerの脆弱性がMicrosoft Officeユーザーを脅かす

MSHTMLのゼロデイ脆弱性が、Microsoft Office利用者に対する攻撃を可能としています。

Microsoftは先日、ゼロデイ脆弱性「CVE-2021-40444」について発表しました。この脆弱性を悪用することで、感染コンピューター上で悪意あるコードのリモート実行が可能となります。サイバー犯罪者によってすでに悪用されているため、Microsoftはネットワーク管理者に対し、パッチが提供されるまでの間は一時的な回避策を講じるように推奨しています。

CVE-2021-40444の詳細

この脆弱性は、Internet Explorer のエンジンであるMSHTMLの脆弱性です。Internet Explorerを使用する人が減ったとはいえ(MicrosoftはEdgeへの切り替えを強く推奨しています)、この古きブラウザーは今でもOSのコンポーネントであり、一部のプログラムではWebコンテンツの処理に今も使われています。特に、WordやPowerPointといったMicrosoft OfficeアプリケーションはInternet Explorerに依存しています。

攻撃者はどのようにCVE-2021-40444を悪用するか

この脆弱性を悪用する攻撃では、任意コードの実行を可能にする悪意あるActiveXコントロールが埋め込まれたMicrosoft Officeドキュメントが使用されます。こうしたドキュメントは、メールの添付ファイルとして届く場合がほとんどです。攻撃者としては、このファイルを相手に開かせなくてはなりません。

理論上は、Microsoft Officeではインターネット経由で受け取ったドキュメントを保護ビューまたはOffice用Application Guardで開くので、CVE-2021-40444を通じた攻撃を阻止できます。しかし、いったん手を止めて考えることをせずに[編集を有効にする]ボタンをクリックしてしまい、Microsoftのセキュリティメカニズムを無効化してしまう人がいるかもしれません。

Microsoft Wordでの保護ビューモードの通知(英語版の例)

Microsoft Wordでの保護ビューモードの通知(英語版の例)

CVE-2021-40444から企業を守るには

Microsoftは本件の調査を約束し、必要であれば公式パッチをリリースするとしています。ということは、次回の月例パッチが予定されている9月14日まではパッチが出ないということです。通常であれば修正パッチのリリース前にMicrosoftから脆弱性が発表されることはありませんが、CVE-2021-40444がすでに悪用されていることから、一時的な回避策をただちに講じるように同社は推奨しています。

回避策としては、システムレジストリにいくつかキーを追加して、新しいActiveXコントロールのインストールをさせないようにします。Microsoftからは、この脆弱性の詳細な情報と共に、回避策も提示されています。「回避策」セクションには、設定の方法と併せ、回避策が不要になった場合の無効化のしかたも説明されています。Microsoftによると、この回避策が既存のActiveXコントロールに影響することはありません。

当社からは、以下をお勧めします。

ヒント

ホームセキュリティのセキュリティ

最近では様々な企業が、主にカメラなどのスマートなテクノロジーを活用したホームセキュリティサービスを提供しています。しかし、セキュリティシステムは侵入者からの攻撃に対してどの程度セキュアなのでしょうか?