JVNDB-2017-002402

JVNDB-2017-002402
Microsoft OLE URL Moniker における遠隔の HTA データに対する不適切な処理
概要
Microsoft OLE は、不適切な方法で URL Moniker を使用して遠隔のデータを処理します。遠隔データは提示された MIME type に関連付けられたアプリケーションを使って処理されますが、MIME type のなかには任意コード実行につながる危険なものが含まれています。たとえば、MIME type application/hta には mshta.exe が関連付けられており、細工された HTA コンテンツを処理することで任意のコードが実行される可能性があります。 Microsoft URL Moniker https://msdn.microsoft.com/en-us/library/ms775149.aspx すでに次のような手法での攻撃活動が報告されています。　* Microsoft Word の DOC 形式に偽装された RTF (リッチテキスト) 形式の文書ファイルによって攻撃が開始される　* この文書ファイルを開くと、リモートサーバに接続して HTA ファイルを取得し、HTA ファイルに含まれる VBScript がクライアント上で実行される本脆弱性を使用した攻撃は、Microsoft Word 以外の Windows コンポーネントを標的として行われる可能性があります。なお、Microsoft Office の保護ビューが、ユーザ操作なしで攻撃が実行されることを防ぐのに役立つことも報告されています。 Microsoft Office の保護ビュー https://support.office.com/ja-jp/article/%E4%BF%9D%E8%AD%B7%E3%83%93%E3%83%A5%E3%83%BC%E3%81%A8%E3%81%AF-d6f09ac7-e6b9-4495-8e43-2bbcdbcb6653
CVSS による深刻度 (CVSS とは?)
CVSS v3 による深刻度基本値: 7.8 (重要) [NVD値] 攻撃元区分: ローカル攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 不要利用者の関与: 要影響の想定範囲: 変更なし機密性への影響(C): 高完全性への影響(I): 高可用性への影響(A): 高 CVSS v2 による深刻度基本値: 9.3 (危険) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 中攻撃前の認証要否: 不要機密性への影響(C): 全面的完全性への影響(I): 全面的可用性への影響(A): 全面的
影響を受けるシステム

マイクロソフト Microsoft Office 2007 SP3 Microsoft Office 2010 SP2 (32-bit editions) Microsoft Office 2010 SP2 (64-bit editions) Microsoft Office 2013 SP1 (32-bit editions) Microsoft Office 2013 SP1 (64-bit editions) Microsoft Office 2016 (32-bit edition) Microsoft Office 2016 (64-bit edition) Microsoft Windows 7 for 32-bit Systems SP1 Microsoft Windows 7 for x64-based Systems SP1 Microsoft Windows Server 2008 R2 for Itanium-Based Systems SP1 Microsoft Windows Server 2008 R2 for x64-based Systems SP1 Microsoft Windows Server 2008 R2 for x64-based Systems SP1 (Server Core installation) Microsoft Windows Server 2008 for 32-bit Systems SP2 Microsoft Windows Server 2008 for 32-bit Systems SP2 (Server Core installation) Microsoft Windows Server 2008 for Itanium-Based Systems SP2 Microsoft Windows Server 2008 for x64-based Systems SP2 Microsoft Windows Server 2008 for x64-based Systems SP2 (Server Core installation) Microsoft Windows Server 2012 Microsoft Windows Server 2012 (Server Core installation) Microsoft Windows Vista SP2 Microsoft Windows Vista x64 Edition SP2
上記以外の製品も影響を受ける可能性があります。
想定される影響
細工された文書ファイルをユーザが開くことで、遠隔の第三者によって任意のコードを実行される可能性があります。
対策
[アップデートする] 2017年4月11日、Microsoft から、本脆弱性に対するセキュリティアップデートが公開されました。 Microsoft が提供する情報をもとに、アップデートを適用してください。なお、セキュリティアップデートの適用後であっても、保護ビューが有効でなければ、リンクされた OLE コンテンツが MIME type にしたがって取得され保存されるところまでは、ユーザへの確認なしで行われます。セキュリティアップデートは、このようにして保存された HTA コンテンツが実行されることを防ぐものです。 [application/hta 形式のファイルの処理を無効化する] 現在確認されている攻撃手法は、application/hta 形式のデータに対する処理を無効化することで防ぐことができると考えられます。次のようなレジストリ値を設定することで、application/hta 形式のデータをプレーンテキストとして処理するよう変更することが可能です。　Windows Registry Editor Version 5.00 　[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/hta] 　"CLSID"="{5e941d80-bf96-11cd-b579-08002b30bfeb}" [Microsoft Word で RTF ファイルをブロックする] 報告されている攻撃活動は、RTF ドキュメントファイルを使用したものです。 Microsoft Office Trust Center のファイル制限機能によって RTF ファイルを開かないようブロックすることが可能です。また、たとえば Word 2016 では次のようにレジストリを設定することで RTF ファイルのブロックが可能です。　Windows Registry Editor Version 5.00 　[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Security\FileBlock] 　"OpenInProtectedView"=dword:00000000 　"RtfFiles"=dword:00000002 レジストリの設定内容は、Office 製品のバージョンによって異なります。 Microsoft Office Trust Center のファイル制限機能 https://support.office.com/ja-jp/article/%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB%E5%88%B6%E9%99%90%E6%A9%9F%E8%83%BD%E3%81%A8%E3%81%AF-10d0e0ab-fecf-4605-befd-1e6563e7686d
ベンダ情報
マイクロソフト Microsoft サポート : ファイル制限機能とは Microsoft サポート : 保護ビューとは MSDN : About URL Monikers Security TechCenter : CVE-2017-0199 \| Microsoft Office/WordPad Remote Code Execution Vulnerability w/Windows API セキュリティテックセンター : CVE-2017-0199 \| Microsoft Office/ワードパッドWindows APIの w/リモートコード実行の脆弱性マカフィー McAfee : Critical Office Zero-Day Attacks Detected in the Wild
CWEによる脆弱性タイプ一覧 CWEとは?
不適切なアクセス制御(CWE-284) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2017-0199
参考情報
JVN : JVNVU#98665451 National Vulnerability Database (NVD) : CVE-2017-0199 IPA 重要なセキュリティ情報 : Microsoft 製品の脆弱性対策について(2017年4月) JPCERT 注意喚起 : JPCERT-AT-2017-0015 US-CERT Vulnerability Note : VU#921560 ICS-CERT ADVISORY : ICSMA-18-058-02 関連文書 : Acknowledgement of Attacks Leveraging Microsoft Zero-Day 関連文書 : Analysis of a CVE-2017-0199 Malicious RTF Document Analysis of a CVE-2017-0199 Malicious RTF Document 関連文書 : Exploiting CVE-2017-0199: HTA Handler Vulnerability
更新履歴
[2017年04月13日] 掲載 [2017年04月14日] タイトル：内容を更新概要：内容を更新対策：内容を更新ベンダ情報：マイクロソフト (保護ビューとは) を追加ベンダ情報：マイクロソフト (ファイル制限機能とは) を追加ベンダ情報：マイクロソフト (About URL Monikers) を追加 [2017年04月19日] タイトル：内容を更新概要：内容を更新影響を受けるシステム：内容を更新対策：内容を更新参考情報：関連文書 (Exploiting CVE-2017-0199: HTA Handler Vulnerability) を追加参考情報：関連文書 (Analysis of a CVE-2017-0199 Malicious RTF Document) を追加 [2017年04月24日] CVSS による深刻度：内容を更新影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：マイクロソフト (CVE-2017-0199 \| Microsoft Office/ワードパッドWindows APIの w/リモートコード実行の脆弱性) を追加参考情報：IPA 重要なセキュリティ情報 (Microsoft 製品の脆弱性対策について(2017年4月)) を追加参考情報：National Vulnerability Database (NVD) (CVE-2017-0199) を追加 CWE による脆弱性タイプ一覧：CWE-ID を追加 [2019年07月10日] 参考情報：ICS-CERT ADVISORY (ICSMA-18-058-02) を追加


公表日	2017/04/10
登録日	2017/04/13
最終更新日	2019/07/10

Microsoft OLE URL Moniker における遠隔の HTA データに対する不適切な処理