Officeにゼロデイ脆弱性(CVE-2022-30190)が発覚、Microsoftは緩和策を公開。現時点で修正パッチは未提供

スポンサーリンク
Officeにゼロデイ脆弱性(CVE-2022-30190)が発覚、Microsoftは緩和策を公開。現時点で修正パッチは未提供Microsoft Tips

現在、Microsoft Officeのゼロデイ脆弱性(通称「Follina」)を積極的に中国のハッカーが悪用していることが話題になっています。

今回の脆弱性を悪用されると、細工されたMicrosoft Officeドキュメントを開くことで最終的にPowerShellコードが実行でき、例えマクロを無効化していてもmsdtツール経由でコードが実行されるため、マクロの無効化では回避できないとされているのが厄介なところ。

今回発見された脆弱性を、マイクロソフトは「Microsoft Windows Support Diagnostic Tool (MSDT) のリモートコード実行の欠陥」として説明し、CVE-2022-30190 として追跡しています。この脆弱性は、現在セキュリティ更新プログラムを受け取っているすべての Windows クライアントおよびサーバー プラットフォーム (Windows 7 以降および Windows Server 2008 以降) に影響を及ぼします。

この脆弱性は4月にセキュリティ研究者によってMicrosoftに報告されていましたが、当初Microsoftはこの欠陥を「セキュリティ関連の問題ではない」と認識していたようで、脆弱性への対処が遅れているようです。

なお、現時点でパッチの提供はありませんが、緩和策は提示されています。

スポンサーリンク

Microsoftは緩和策を公開もパッチは現時点で未提供

現時点でMicrosoftは対策パッチを提供できていませんが、MSDT URLプロトコルを無効化する緩和策を公開しています。

WindowsデバイスでMSDTURLプロトコルを無効にするには、次の手順を実行する必要があります。

  1. 管理者としてコマンドプロンプトを実行します。
  2. レジストリキーをバックアップするために、コマンド「reg export HKEY_CLASSES_ROOT\ms-msdt filename」を実行します。
  3. コマンド「reg delete HKEY_CLASSES_ROOT\ms-msdt /f」を実行します

MicrosoftがCVE-2022-30190パッチをリリースした後、管理者権限でコマンドプロンプトを起動し、「reg import filenameコマンドを実行することで回避策を取り消すことができます。

Microsoft Defender Antivirus 1.367.719.0以降であれば、以下のシグネチャで脆弱性が悪用される可能性を検出できます。

  • Trojan:Win32/Mesdetty.A
  • Trojan:Win32/Mesdetty.B
  • Behavior:Win32/MesdettyLaunch.A
  • Behavior:Win32/MesdettyLaunch.B
  • Behavior:Win32/MesdettyLaunch.C

なお、BleepingComputerでは、Windowsエクスプローラーのプレビューペインを無効にすることも推奨しています。

コメント