#author("2019-11-23T14:27:56+09:00","","")
[[FrontPage]]
本稿は、FIREEYE社の脅威調査: https://www.fireeye.com/blog/threat-research/2017/12/targeted-attack-in-middle-east-by-apt34.html を参考にしました。
*脆弱性CVE-2017-11882 [#mcd8f712]
-Office 2007 SP3
-Office 2010SP2(32/64bit)
-Office 2013SP1(32/64bit)
-Office 2016(32/64bit)
以上に搭載された数式エディタのスタックベースのバッファーオーバーフロー
*ワークフローで使用されたコンポーネント [#s288e7fc]
&ref(https://updatecorp.co.jp/ipa/image/data/CVE201711882a.jpg);
~
|CENTER:名前|CENTER:役割|h
|PowerShell|標準スクリプト言語|
|MSHTA.EXE|Microsoft HTML Application Host、HTAファイルの実行エンジン|
|VBScript|Windows標準スクリプト言語|
|CERTUTIL.EXE|Windows標準コマンド:証明書ユーティリティ|
|SCHTASKS.EXE|Windows標準コマンド:タスクスケジューラ|
*設定対策 [#i855d30d]
本件は、PowerShellの実行ポリシーを禁止にするべきか、署名済みスクリプトのみ許可する、とし、環境評価によって、VBScriptの実行停止、もしくは、コマンドラインのブラックリスト化を行うことで、十分に抑止できたと考えられます。
+ユーザーにローカル管理者権限を与えない
+Officeの数式エディターの脆弱性アップデート
+グループポリシーによるPowerShellの実行ポリシーの制御(停止、署名済みのみ許可等)
+AppLocker、Defender Application制御を使ったMSHTA.EXE、CERTUTIL.EXE、SCHETASKS.EXEの実行制御
+Registry設定によるVBScriptエンジン(WSCRIPT.EXE、CSCRIPT.EXE)の停止、署名のみ許可設定
