Officeに未修正のゼロデイ脆弱性 Microsoftは回避策を公開

米Microsoftは5月30日(現地時間)、Windowsのゼロデイ・ゼロクリック脆弱性に関する共通脆弱性識別子「CVE-2022-30190」を発行した。本稿執筆現在まだ修正は公開されておらず、Microsoftは回避策を説明した。

既に悪用された可能性があるとなっている。

この脆弱性は、Microsoft Support Diagnostic Tool(MSDT)のリモートコード実行に関するもので、セキュリティ研究グループShadow Chaser Groupのリーダーが4月に報告したもの。セキュリティ更新プログラムを受信しているすべてのWindowsに影響する。

Word文書を開いたり、プレビューするだけでも、MSDTを介して悪意あるPower Shellコマンドが実行されてしまう。これにより、攻撃者は呼び出し元のアプリの権限で、任意のコードを実行する可能性がある。

Microsoftが公開した対策は以下の通り。

(1)管理者としてコマンドプロンプトを実行する

(2)レジストリキーをバックアップするために、コマンド「reg export HKEY_CLASSES_ROOT\ms-msdt filename」を実行する

(3)コマンド「reg delete HKEY_CLASSES_ROOT\ms-msdt /f」を実行する

Microsoftがパッチを公開したら、「reg import filename」でバックアップからレジストリを復元する。

また、「Microsoft Defender Antivirus」のバージョン1.367.719.0以降であれば、以下のシグネチャで悪用の可能性を検出される。

Trojan:Win32/Mesdetty.A

Trojan:Win32/Mesdetty.B

Behavior:Win32/MesdettyLaunch.A

Behavior:Win32/MesdettyLaunch.B

Behavior:Win32/MesdettyLaunch.C

米BleepingComputerはWindowsエクスプローラのプレビューペインを無効にすることも推奨している。

Shadow Chaser Groupによると、この脆弱性は既に実際に悪用されているゼロデイとして4月12日にMicrosoftに報告されたが、Microsoftは4月21日、これをセキュリティ脆弱性とは見なしていないと通知した。その後、別の研究者が攻撃例を紹介したため、MicrosoftはCVEを発行した。

(ITmedia NEWS)

会員限定記事会員サービス詳細