マイクロソフトの4月のパッチ実行(明日予定)に注目が集まり、レドモンドが先週現れた厄介なWordゼロデイ攻撃に先手を打てるかどうかが注目される。
このハッキングはオブジェクトのリンクと埋め込みを悪用するもので、このバグを発見したFireEyeの研究者はMicrosoftと協力していたが、McAfeeからの情報開示によって先手を打たれた。
McAfee と FireEye はそれぞれ、この攻撃は Windows 10 上で実行されている Office 2016 にまで及ぶと説明している。
この攻撃の厄介な点は、多くの Word ベースの攻撃とは異なり、被害者にマクロを有効にするよう要求しないことです。
被害者に電子メールで送信されたドキュメントには、埋め込まれた OLE2link オブジェクトが含まれており、ターゲットがそのファイルを開くと、winword.exe が HTTP 経由でリモート サーバーに接続し、RTF (リッチ テキスト形式) を装った悪意のある .hta ファイルを送信します。
HTAアプリケーションがロードされ実行されると、winword.exeを終了し、OLE2linkオブジェクトによって表示されるダイアログを非表示にします。その後、追加のペイロードをダウンロードし、ユーザー向けのおとり文書をロードします。
マカフィーの投稿には、「攻撃者は被害者のマシン上で完全なコード実行権限を取得する」と付け加えられており、「このバグにより、攻撃者はマイクロソフトが開発したメモリベースの緩和策をすべて回避できるようになる」という。
マカフィーのバグのスクリーンショット
マカフィーは、「この攻撃はOfficeの保護ビューを回避できないため、Officeの保護ビューが有効になっていることを確認することをお勧めします」と述べています。
FireEye 社は、電子メールおよびネットワーク製品にこの攻撃を検出するよう学習させたと述べている。®
