McAfee Enterprise CVE-2021-40444 の対応 - MSHTML リモート コード実行
最終更新: 2022-01-26 12:41:34 Etc/GMT
免責事項
影響を受ける製品
言語:
この記事は、次の言語で表示可能です:
常に適応し続ける XDR エコシステムが企業を活性化するしくみをお伝えします。
Trellix の CEO を務める Bryan Palma が、常に学習するセキュリティが決定的に必要であることを力説します。
Magic Quadrant で、19 のベンダーについてビジョンの完全性と実行能力が評価されました。レポートをダウンロードして詳細をご覧ください。
Gartner によると、XDR は脅威の防止、検出、応答を改善する可能性を秘めた新しい技術です。
2022 年に注意が必要なサイバー セキュリティ脅威は?
サイバー セキュリティ業界に安穏の時はありません。今こそ、この考え方を、ビジネスの活性化につながる利点として、また推進剤として念頭に置くべきです。
サイバー セキュリティの世界で信頼される二大リーダーが 1 つになって、耐久性の高いデジタル ワールドを実現します。
Trellix の CEO を務める Bryan Palma が、常に学習するセキュリティが決定的に必要であることを力説します。
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
McAfee Enterprise CVE-2021-40444 の対応 - MSHTML リモート コード実行
技術的な記事 ID:
KB94876
最終更新: 2022-01-26 12:41:34 Etc/GMT 環境
Microsoft Windows オペレーティング システム
概要
この記事の最近の更新
この記事が更新されたときに電子メール通知を受信するには、 契約を更新 ページの右側にあります。購読するには、ログインする必要があります。
McAfee Enterprise は、MSHTML、CVE-2021-40444 からのリモート コード実行を標的とした、新しいゼロデイ エクスプロイトを調査しています。 Microsoft は、このエクスプロイトが実際の標的型攻撃で使用されていることを報告しています。 脆弱性を活用するには、いくつかの方法があります。 1 つのシナリオでは、攻撃者は、Internet Explorer 内の ActiveX コントロールを利用する悪意のある Office ドキュメントをダウンロードして開くようにユーザーを説得する必要があります。 デフォルトでは、Microsoft Office は、インターネットから保護されたビューか Word、Excel、および PowerPoint 用の Application Guard からドキュメントを開きます。 これらの緩和策は両方とも、悪用を防ぎます。 最近のテストでは、プレビュー モードは、悪用を成功させるために通常必要となるユーザー インタラクションの回避策であることが示されています。 たとえば、攻撃者がリッチテキスト形式 (RTF) ファイルを作成し、プレビュー モードが有効になっている場合、ファイルをまったく開かずにバグがトリガーされる可能性があります。 ここでは、Windows エクスプローラと Microsoft Office の両方でプレビュー モードを無効にすることが効果的である可能性があります。 現在のエクスプロイトは Microsoft Office Word および RTF ファイルを中心に展開していますが、脆弱性を引き起こすために任意の Office ドキュメントが使用される可能性があります。 保護されたビューとアプリケーション ガードが Word、Excel、または PowerPoint の外部でサポートされていないことを考えると、唯一の効果的な緩和策は、Windows の ActiveX を完全に無効にすることです。 緩和策または回避策については、Microsoft Security Update Guide (CVE-2021-40444) を参照してください。 原因
CVE-2021-40444 は、悪意を持って作成された Microsoft Office ドキュメントに依存しており、MSHTML から意図的にリモートコード実行を呼び出す方法で ActiveX コントロールを標的としています。 ユーザーの操作が必要ですが、攻撃の詳細を知っていると、管理者が環境内で攻撃を特定するのに役立ちます。 次の侵入の痕跡(IOC)は、実際の攻撃に関連している可能性が高いと特定されています。 リストされているすべての既知の IOC は、検出名に(ED)を含む IOC を除いて、最新の ベスト プラクティスとして、最小限の更新間隔でリポジトリ更新タスクを構成します。 この方法により、McAfee Enterprise がリリースした最新のコンテンツが確実に適用されます。
McAfee Enterprise Global Threat Intelligence(GTI)は、IOC に関連するネットワーク トラフィックも分類しています。 SHA256: Category: Phishing Classification: High Risk hxxp://dodefoh[.]com hxxp://23.106.160[.]25 Category: PUPs (potentially unwanted programs) Classification: Medium Risk 解決策
McAfee Enterprise は、エントリ レベルの脅威に対する一般的な対策を実装することをお勧めします。 更なる情報については、KB91836 - Countermeasures for entry vector threats を参照してください。 この記事で概説されている推奨手順のうち、既知の IOC に対する ENS エクスプロイト防止シグネチャ 「2844:Microsoft Word WordPerfect5 Converter Module Buffer Overflow Vulnerability」 である程度の成功が示されていますが、このルールは攻撃的であると見なされ、誤検知が発生する可能性があります。 したがって、本番システムに適用する前に、この推奨事項を完全にテストする必要があります。 環境でのエクスプロイトから潜在的な動作を特定支援のため、管理者とアナリストは次の 次の ENS エクスプロイト防止エキスパート ルール は追加のカバレッジを提供するために作成されました。 このルールは、誤検知を最小限に抑えるように更新されました。 ただし、本番システムに適用する前に、ルールを徹底的にテストする必要があります。 テスト目的で提案されたルールをレポート専用モードに設定して、環境で競合が発生するかどうかを確認し、ブロックせずにターゲットの動作を監視できます。 ルールが正当なアプリケーションからのアクティビティをブロックしないことを確認したら、ブロックするようにルールを設定して、関連するシステムに設定を適用できます。 注: 参照されているコンテンツは、ログインしているサービスポータル ユーザーのみ使用できます。 コンテンツを表示するには、リンクをクリックし、プロンプトが表示されたらログインします。 HIGH - HTTP: Microsoft MSHTML Remote Code Execution Vulnerability (CVE-2021-40444) (0x45299800):Exploit: このアラートは、Microsoft Office ドキュメントのリモート コード実行の脆弱性を悪用しようとしていることを示しています。 このアラートでは、HTTP 応答機能を有効にする必要があります。 HTTP 応答オプションが無効になっている場合、この攻撃は検出されません。 さらなるカバレッジの機会は現在評価されています。 関連情報免責事項この記事の内容のオリジナルは英語です。英語の内容と翻訳に相違がある場合、常に英語の内容が正確です。一部の内容は Microsoft の機械翻訳による訳文となっています。
影響を受ける製品言語:この記事は、次の言語で表示可能です: |
|