トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・CVE-2017-11882 Officeの数式エディタの脆弱性を使った攻撃 のバックアップ(No.2)


FrontPage

本稿は、FIREEYE社の脅威調査: https://www.fireeye.com/blog/threat-research/2017/12/targeted-attack-in-middle-east-by-apt34.html を参考にしました。

脆弱性CVE-2017-11882

  • Office 2007 SP3
  • Office 2010SP2(32/64bit)
  • Office 2013SP1(32/64bit)
  • Office 2016(32/64bit) 以上に搭載された数式エディタのスタックベースのバッファーオーバーフロー

ワークフローで使用されたコンポーネント

CVE201711882a.jpg

名前役割
PowerShell標準スクリプト言語
MSHTA.EXEMicrosoft HTML Application Host、HTAファイルの実行エンジン
VBScriptWindows標準スクリプト言語
CERTUTIL.EXEWindows標準コマンド:証明書ユーティリティ
SCHTASKS.EXEWindows標準コマンド:タスクスケジューラ

設定対策

本件は、PowerShellの実行ポリシーを禁止にするべきか、署名済みスクリプトのみ許可する、とし、環境評価によって、VBScriptの実行停止、もしくは、コマンドラインのブラックリスト化を行うことで、十分に抑止できたと考えられます。

  1. ユーザーにローカル管理者権限を与えない
  2. Officeの数式エディターの脆弱性アップデート
  3. グループポリシーによるPowerShellの実行ポリシーの制御(停止、署名済みのみ許可等)
  4. AppLocker、Defender Application制御を使ったMSHTA.EXE、CERTUTIL.EXE、SCHETASKS.EXEの実行制御
  5. Registry設定によるVBScriptエンジン(WSCRIPT.EXE、CSCRIPT.EXE)の停止、署名のみ許可設定