現在「Follina」と呼ばれるゼロデイ脆弱性が発見され話題となっています。この脆弱性CVE-2022-30190は、被害を受けたコンピューター上でリモートコードを実行させることができるというもので、Officeの脆弱性とされていますが、実際はWindowsのコンポーネントが原因のようです。
Windows 11を含むWindowsのすべてのバージョンに含まれる、Microsoft Windows Support Diagnostic Tool (MSDT)に脆弱性が存在し、悪意のあるWordファイルを使用することが、この欠陥を悪用するための最も簡単な攻撃経路であることから、Officeの脆弱性とみなされていた模様。
Microsoftはこの脆弱性に対する回避策(MSDT URLプロトコルの無効化)を提供していますが、4月半ばに脆弱性が報告されてから7週間が経過してもいまだに修正パッチは提供されていません。Microsoftはこの脆弱性が実際に悪用されている事を認識しているのにもかかわらず、パッチを提供していない理由として、当初「セキュリティ上の問題とは考えていない」ととらえていたことが原因にあるようです
It says pic.twitter.com/Z2AN7nq6hr
— crazyman_army (@CrazymanArmy) May 30, 2022
当初は、提供されたデモを実行する際、Microsoft Windows Support Diagnostic Toolがパスワードを要求したことから、セキュリティ上の問題ではないととらえられていた模様。
しかし、その後セキュリティ研究者Kevin Beaumont氏が、悪意のあるWord文書を使って、リモートのHTMLファイルを取得し、MSProtocol URIスキームを使用して有害で危険なPowerShellコマンドを実行できることを示し、MicrosoftもCVE-2022-30190を重大な脆弱性だと考えを改めます。
Microsoftの回避策を適用するには、レジストリを変更する必要があるため、早急なパッチの提供が求められています。
[via BetaNews]
