ハッカーがMicrosoftWordドキュメントを悪用してWindowsをハッキングする方法

マイクロソフト独自のMSHTMLブラウザエンジンで最近発見されたバグにより、ハッカーはすべてのバージョンのWindowsでリモートでコードを実行できます。攻撃者は、このゼロデイバグを悪用するために特別に細工されたWordドキュメントを使用しています。残念ながら、MSHTMLは、Skype、Visual Studio、Microsoft OutlookなどのいくつかのMicrosoft製品でも使用されているため、問題はかなり広範囲に及んでいます。

そのため、エクスプロイトがどのように機能し、それから身を守る方法を探りましょう。

Microsoft Wordのゼロデイエクスプロイトはどのように機能しますか?

攻撃は、ユーザーがだまされて武器化されたWord文書を開くように仕向けられたときに始まります。このドキュメントには、MSHTMLエンジンによる処理を目的とした特別に細工されたActiveXコントロールが含まれます。正常に読み込まれると、ハッカーはこのActiveXコントロールを使用して、侵入先のデバイスでリモートコードを実行できます。

MicrosoftはこのバグをCVE-2021-40444として追跡しており、CVSSスコア8.8を割り当てています。これにより、MSHTMLバグは影響の大きい問題になり、かなりの損害を引き起こす可能性があります。

MSHTML攻撃を軽減する方法

ユーザーは、信頼できないWord文書を開かないことで、MSHTML攻撃を防ぐことができます。このようなドキュメントを誤ってクリックした場合でも、デフォルト構成でOfficeを実行すると、この最新のMicrosoft関連のゼロデイ攻撃から安全に保護される可能性があります。

既定では、Officeは、インターネットからダウンロードしたドキュメントを、Officeの保護されたビューまたはアプリケーションガードのいずれかで開きます。この機能は、信頼できないファイルが重要なシステムリソースにアクセスするのを防ぐため、安全である可能性があります。

ただし、管理者権限で操作するユーザーは、MSHTML攻撃のリスクが高くなります。現在、有効なパッチが利用できないため、保護されたビューで保存できる標準ユーザーとしてのみOfficeドキュメントを開くことをお勧めします。 Microsoftはまた、ActiveXコントロールを無効にすることでこの攻撃を防ぐことができると述べています。

関連: MicrosoftがOffice365のApplicationGuardをアクティブ化して在宅勤務者を保護

ActiveXコントロールを無効にする方法

ActiveXコントロールを無効にするには、テキストエディタを開き、 disable-activex.regという名前のファイルを作成します。 .reg拡張子が付いている限り、このファイルは何でも呼び出すことができます。次に、以下をファイルに貼り付けて保存します。

 Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones ]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones1]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones2]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones3]
"1001"=dword:00000003
"1004"=dword:00000003

ファイルをダブルクリックし、Windowsのプロンプトが表示されたら[はい]をクリックします。それが完了したらPCを再起動すると、Windowsが新しい構成を適用します。

信頼できないWord文書に注意してください

Microsoftは、MSHTMLエクスプロイトの公式パッチをまだリリースしていません。したがって、安全を確保したい場合は、インターネットからダウンロードしたドキュメントをクリックしないことが最善の策です。幸いなことに、Defenderは、この攻撃がシステムを危険にさらすことを検出して防止できます。したがって、Microsoft Defenderをオンにして、リアルタイム保護を有効にしてください。