Officeの全バージョンに影響する、未修正の脆弱性が発覚した。すでにこれを悪用する攻撃も始まっている。問題があるのはアプリケーション間のデータ共有のための機能「Object Linking and Embedding」(OLE)で、悪用されるとリモートから任意のコードが実行されてしまうおそれがある。
米McAfeeと米FireEyeが現地時間の7日と8日に情報を公開。10日にはセキュリティ関連団体の米CERT/CCもセキュリティ情報を公開し、注意を呼びかけている。
これらの情報によるとこの脆弱性は、Windows 10で動作するOffice 2016も含め、Officeの全バージョンに影響する。
確認されている攻撃の手口は、細工を施したWordファイルをメールに添付して送り付けるというもの。送られるファイルはDOCファイルに見せかけているが、実際はRTF(リッチテキスト形式)ファイル。開いてしまうと、攻撃者がコントロールしているサーバーから悪質なファイルをダウンロード、実行するよう仕組まれている。McAfeeによると、攻撃は1月から発生していたという。
これまで確認された攻撃ではWordファイルが使われているが、今回のOLEの脆弱性は、Wordだけでなく他のOffice製品にも影響を及ぼすものだ。このため、ExcelファイルやPowerPointファイルを使った攻撃が行われる可能性もある。
McAfeeおよびCERT/CCによると、攻撃ファイルをOfficeの保護ビュー(Office 2010では保護されたビュー)で開いた場合は、攻撃が阻止される。保護ビューはデフォルトで有効になっているが、利便性から無効にしている方もいるだろう。パッチが提供されるまでの間は有効にしておくことをおすすめする。保護ビューについては、下記関連URLに挙げたマイクロソフトの資料を参照していただきたい。
明日12日はマイクロソフトの4月度パッチ公開日だが、今回のOLEの脆弱性が修正されるかどうかは不明。パッチが公開されるまでの間は、メールに添付されていた、あるいはインターネット上で公開されているOfficeファイルの扱いには十分注意していただきたい。
(2017/4/11 ネットセキュリティニュース)
【関連URL】
・Critical Office Zero-Day Attacks Detected in the Wild[英文](McAfee)
https://securingtomorrow.mcafee.com/mcafee-labs/critical-office-zero-day-attacks-detected-wild/
・Acknowledgement of Attacks Leveraging Microsoft Zero-Day[英文](FireEye)
https://www.fireeye.com/blog/threat-research/2017/04/acknowledgement_ofa.html
・Microsoft OLE2Link object contains an unspecified vulnerability[英文](CERT/CC)
http://www.kb.cert.org/vuls/id/921560
・保護ビューとは(マイクロソフト)
https://support.office.com/ja-jp/article/%E4%BF%9D%E8%AD%B7%E3%83%93%E3%83%A5%E3%83%BC%E3%81%A8%E3%81%AF-d6f09ac7-e6b9-4495-8e43-2bbcdbcb6653