公開日:2017/04/11 最終更新日:2017/04/18

JVNVU#98665451
Microsoft OLE URL Moniker における遠隔の HTA データに対する不適切な処理

概要

Microsoft OLE は、サーバから提示された MIME type にしたがって URL Moniker でアプリケーションデータを処理します。この挙動を使用して任意のコードが実行される可能性があります。

影響を受けるシステム

  • 全ての Microsoft Office 製品 (Windows 10 の Office 2016 を含む)
  • Windows Vista
  • Windows 7
  • Windows Server 2008
  • Windows Server 2008 R2
  • Windows Server 2012

詳細情報

Microsoft OLE は、不適切な方法で URL Moniker を使用して遠隔のデータを処理します。遠隔データは提示された MIME type に関連付けられたアプリケーションを使って処理されますが、MIME type のなかには任意コード実行につながる危険なものが含まれています。たとえば、MIME type application/hta には mshta.exe が関連付けられており、細工された HTA コンテンツを処理することで任意のコードが実行される可能性があります。

すでに次のような手法での攻撃活動が報告されています。

  • Microsoft Word の DOC 形式に偽装された RTF (リッチテキスト) 形式の文書ファイルによって攻撃が開始される
  • この文書ファイルを開くと、リモートサーバに接続して HTA ファイルを取得し、HTA ファイルに含まれる VBScript がクライアント上で実行される
本脆弱性を使用した攻撃は、Microsoft Word 以外の Windows コンポーネントを標的として行われる可能性があります。なお、Microsoft Office の保護ビューが、ユーザ操作なしで攻撃が実行されることを防ぐのに役立つことも報告されています。

想定される影響

細工された文書ファイルをユーザが開くことで、遠隔の第三者によって任意のコードを実行される可能性があります。

対策方法

アップデートする
2017年4月11日、Microsoft から、本脆弱性に対するセキュリティアップデートが公開されました。
Microsoft が提供する情報をもとに、アップデートを適用してください。

なお、セキュリティアップデートの適用後であっても、保護ビューが有効でなければ、リンクされた OLE コンテンツが MIME type にしたがって取得され保存されるところまでは、ユーザへの確認なしで行われます。セキュリティアップデートは、このようにして保存された HTA コンテンツが実行されることを防ぐものです。

application/hta 形式のファイルの処理を無効化する
現在確認されている攻撃手法は、application/hta 形式のデータに対する処理を無効化することで防ぐことができると考えられます。次のようなレジストリ値を設定することで、application/hta 形式のデータをプレーンテキストとして処理するよう変更することが可能です。

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/hta]
"CLSID"="{5e941d80-bf96-11cd-b579-08002b30bfeb}"

Microsoft Word で RTF ファイルをブロックする
報告されている攻撃活動は、RTF ドキュメントファイルを使用したものです。
Microsoft Office Trust Center のファイル制限機能によって RTF ファイルを開かないようブロックすることが可能です。
また、たとえば Word 2016 では次のようにレジストリを設定することで RTF ファイルのブロックが可能です。

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Security\FileBlock]
"OpenInProtectedView"=dword:00000000
"RtfFiles"=dword:00000002

レジストリの設定内容は、Office 製品のバージョンによって異なります。

ベンダ情報

ベンダ リンク
Microsoft CVE-2017-0199 | Microsoft Office/WordPad Remote Code Execution Vulnerability w/Windows API

参考情報

  1. CERT/CC Vulnerability Note VU#921560
    Microsoft OLE2Link object improperly handles remotely-linked HTA data
  2. FireEye Blogs
    Acknowledgement of Attacks Leveraging Microsoft Zero-Day
  3. McAfee Blogs
    Critical Office Zero-Day Attacks Detected in the Wild
  4. MDSec
    Exploiting CVE-2017-0199: HTA Handler Vulnerability
  5. NVISO LABS
    Analysis of a CVE-2017-0199 Malicious RTF Document

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L
基本値: 6.3
攻撃元区分(AV) 物理 (P) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 低 (L)
必要な特権レベル(PR) 高 (H) 低 (L) 不要 (N)
ユーザ関与レベル(UI) 要 (R) 不要 (N)
スコープ(S) 変更なし (U) 変更あり (C)
機密性への影響(C) なし (N) 低 (L) 高 (H)
完全性への影響(I) なし (N) 低 (L) 高 (H)
可用性への影響(A) なし (N) 低 (L) 高 (H)
CVSS v2 AV:N/AC:L/Au:N/C:P/I:P/A:P
基本値: 7.5
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L)
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N)
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C)
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C)
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C)

謝辞

関連文書

JPCERT 緊急報告 JPCERT-AT-2017-0015
2017年 4月マイクロソフトセキュリティ更新プログラムに関する注意喚起
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2017-0199
JVN iPedia

更新履歴

2017/04/12
CERT/CC Vulnerability Note VU#921560 の更新にあわせ、内容を更新しました。
2017/04/13
対策方法の誤記を修正しました。
2017/04/13
CERT/CC Vulnerability Note VU#921560 の更新にあわせ、内容を更新しました。
2017/04/18
CERT/CC Vulnerability Note VU#921560 の更新にあわせ、内容を更新しました。