情報システム開発契約のセキュリティ仕様作成のためのガイドライン
・CVE-2017-11882 Officeの数式エディタの脆弱性を使った攻撃
をテンプレートにして作成
開始行:
[[FrontPage]]~
[[サイバー攻撃の実態>情報システム開発契約のセキュリティ仕...
[[・攻撃ベクトルの研究]]~
~
本稿は、FIREEYE社の脅威調査: https://www.fireeye.com/blog...
*攻撃に利用された脆弱性[#mcd8f712]
-CVE-2017-11882 :https://www.ipa.go.jp/security/ciadr/vul...
以下に搭載された数式エディタのスタックベースのバッファー...
--Office 2007 SP3
--Office 2010SP2(32/64bit)
--Office 2013SP1(32/64bit)
--Office 2016(32/64bit)
*攻撃のフロー [#h0a5c88f]
&ref(https://www.softwareisac.jp/ipa/image/data/CVE201711...
~
*ワークフローで使用されたコンポーネント [#s288e7fc]
|CENTER:名前|CENTER:役割|h
|PowerShell|標準スクリプト言語|
|MSHTA.EXE|Microsoft HTML Application Host、HTAファイルの...
|VBScript|Windows標準スクリプト言語|
|CERTUTIL.EXE|Windows標準コマンド:証明書ユーティリティ|
|SCHTASKS.EXE|Windows標準コマンド:タスクスケジューラ|
*手口 [#y8ca9178]
+攻撃者は、リッチテキストフォーマットに細工をした数式を埋...
+受信者が添付ファイルを開くと、受信者の脆弱な数式エディタ...
+悪意あるプログラムは、WinExec関数を呼び出し、受信者のコ...
+悪意あるPowerShellスクリプトは、さらにテキストファ...
+VBScriptは、C:\ProgramData\Windows\Microsoft\java\ に4つ...
+このうちBase64でエンコードされた2つのコンポーネントは、...
+残りの2つのファイルの内、バッチファイルが永続化のためのV...
+定期的に起動されるPowerShell スクリプトは、C&Cサーバーと...
*設定対策 [#i855d30d]
本件は、PowerShellの実行ポリシーを禁止にするべきか、...
+ユーザーにローカル管理者権限を与えない。
+Officeの数式エディターの脆弱性アップデート。
+グループポリシーによるPowerShellの実行ポリシーの制...
+AppLocker、Defender Application制御を使ったMSHTA.EX...
+Registry設定によるVBScriptエンジン(WSCRIPT.EXE、CSCRIPT...
終了行:
[[FrontPage]]~
[[サイバー攻撃の実態>情報システム開発契約のセキュリティ仕...
[[・攻撃ベクトルの研究]]~
~
本稿は、FIREEYE社の脅威調査: https://www.fireeye.com/blog...
*攻撃に利用された脆弱性[#mcd8f712]
-CVE-2017-11882 :https://www.ipa.go.jp/security/ciadr/vul...
以下に搭載された数式エディタのスタックベースのバッファー...
--Office 2007 SP3
--Office 2010SP2(32/64bit)
--Office 2013SP1(32/64bit)
--Office 2016(32/64bit)
*攻撃のフロー [#h0a5c88f]
&ref(https://www.softwareisac.jp/ipa/image/data/CVE201711...
~
*ワークフローで使用されたコンポーネント [#s288e7fc]
|CENTER:名前|CENTER:役割|h
|PowerShell|標準スクリプト言語|
|MSHTA.EXE|Microsoft HTML Application Host、HTAファイルの...
|VBScript|Windows標準スクリプト言語|
|CERTUTIL.EXE|Windows標準コマンド:証明書ユーティリティ|
|SCHTASKS.EXE|Windows標準コマンド:タスクスケジューラ|
*手口 [#y8ca9178]
+攻撃者は、リッチテキストフォーマットに細工をした数式を埋...
+受信者が添付ファイルを開くと、受信者の脆弱な数式エディタ...
+悪意あるプログラムは、WinExec関数を呼び出し、受信者のコ...
+悪意あるPowerShellスクリプトは、さらにテキストファ...
+VBScriptは、C:\ProgramData\Windows\Microsoft\java\ に4つ...
+このうちBase64でエンコードされた2つのコンポーネントは、...
+残りの2つのファイルの内、バッチファイルが永続化のためのV...
+定期的に起動されるPowerShell スクリプトは、C&Cサーバーと...
*設定対策 [#i855d30d]
本件は、PowerShellの実行ポリシーを禁止にするべきか、...
+ユーザーにローカル管理者権限を与えない。
+Officeの数式エディターの脆弱性アップデート。
+グループポリシーによるPowerShellの実行ポリシーの制...
+AppLocker、Defender Application制御を使ったMSHTA.EX...
+Registry設定によるVBScriptエンジン(WSCRIPT.EXE、CSCRIPT...
ページ名:
