【活用ガイド】

JVNDB-2017-009645

Microsoft Office 数式エディタにおけるスタックベースのバッファオーバーフローの脆弱性

概要

Microsoft Office 数式エディタには、スタックベースのバッファオーバーフローの脆弱性が存在します。

Microsoft 数式エディタは Microsoft Office に付属するコンポーネントです。Microsoft Office 数式エディタにはスタックベースのバッファオーバーフローの脆弱性 (CWE-121) が存在します。

CWE-121
https://cwe.mitre.org/data/definitions/121.html

最近のソフトウェアでは、メモリ破損の脆弱性に対して DEP や ASLR などの保護、さらには CFG といった保護を組み込むことによって影響を緩和する対策を行っています。しかしこのコンポーネントには、最新の Microsoft Office 2016 のバージョンであっても、上記のような保護機構が組み込まれておらず、コード実行などの攻撃が容易になっています。

保護
https://msdn.microsoft.com/en-us/library/bb430720.aspx?f=255&MSPPError=-2147217396

CFG
https://msdn.microsoft.com/en-us/library/windows/desktop/mt637065(v=vs.85).aspx

Microsoft 数式エディタは eqnedt32.exe で提供される out-of-process COM サーバーであるため、MS Office アプリケーションに対する保護の範囲外にあります。例えば RTF 文書を使った攻撃が行われる場合、文書は Microsoft Word で開かれますが、eqnedt32.exe は Windows DCOM Server Process Launcher service によって呼び出されるため、Microsoft Office のプログラムに対する EMET や Windows Defender Exploit Guard などの保護機構は働きません。同様の理由で Windows Defender Exploit Guard Attack Surface Reduction (ASR) による保護も行われません。

COM サーバー
https://msdn.microsoft.com/en-us/library/windows/desktop/ms683835(v=vs.85).aspx

EMET
https://www.microsoft.com/en-us/download/details.aspx?id=54264

Windows Defender Exploit Guard
https://docs.microsoft.com/en-us/windows/threat-protection/windows-defender-exploit-guard/attack-surface-reduction-exploit-guard

Attack Surface Reduction (ASR)
https://docs.microsoft.com/en-us/windows/threat-protection/windows-defender-exploit-guard/enable-attack-surface-reduction

Windows 7 のユーザで、かつ システムレベルで EMET の ASLR を「常にオン」に設定している場合には、この脆弱性に対する攻撃から保護されます。一方 Windows 10 の場合、Windows 7 のようなシステムレベルでの ASLR 設定はできないため、この脆弱性に対する対策を行う必要があります。
CVSS による深刻度 (CVSS とは?)

基本値: 6.8 (警告) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 中
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 部分的
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): 部分的

[参考] CVSS v3 による深刻度
基本値: 5.3 (警告) [IPA値]
  • 攻撃元区分: ローカル
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 低
  • 完全性への影響(I): 低
  • 可用性への影響(A): 低
影響を受けるシステム


マイクロソフト
  • Microsoft Office 2007 Service Pack 3
  • Microsoft Office 2010 Service Pack 2 (32-bit editions)
  • Microsoft Office 2010 Service Pack 2 (32-bit editions)
  • Microsoft Office 2013 Service Pack 1 (32-bit editions)
  • Microsoft Office 2013 Service Pack 1 (64-bit editions)
  • Microsoft Office 2016 (32-bit edition)
  • Microsoft Office 2016 (64-bit edition)

想定される影響

細工された Office 文書を閲覧した場合に、ユーザの権限で任意のコードが実行される可能性があります。
対策

[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。

開発者が提供する情報
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2017-11882

[数式エディタを無効化する]
以下のようにレジストリを設定することで、Microsoft Office において数式エディタを無効化することが可能です。

  Windows Registry Editor Version 5.00

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}]
"Compatibility Flags"=dword:00000400

  [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}]
"Compatibility Flags"=dword:00000400

[EMET もしくは Windows Defender Exploit Guard を eqnedt32.exe に適用する]
eqnedt32.exe に Windows が提供する保護機構を適用してください。
とくに、ASLR を有効にすることで発見者の提供する情報で説明されている攻撃を防ぐことが可能です。

保護機構
https://blogs.technet.microsoft.com/srd/2017/08/09/moving-beyond-emet-ii-windows-defender-exploit-guard/

発見者が提供する情報
https://embedi.com/blog/skeleton-closet-ms-office-vulnerability-you-didnt-know-about
ベンダ情報

マイクロソフト
CWEによる脆弱性タイプ一覧  CWEとは?

  1. スタックベースのバッファオーバーフロー(CWE-121) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2017-11882
参考情報

  1. JVN : JVNVU#90967793
  2. National Vulnerability Database (NVD) : CVE-2017-11882
  3. IPA 重要なセキュリティ情報 : Microsoft Office の脆弱性(CVE-2017-11882)について
  4. US-CERT Vulnerability Note : VU#421280
  5. 関連文書 : Blog | Embedi
更新履歴

[2017年11月17日]
  掲載
[2017年11月29日]
  参考情報:IPA 重要なセキュリティ情報 (Microsoft Office の脆弱性(CVE-2017-11882)について) を追加