10月の更新プログラムにて、セキュリティパッチが配布されたMicrosoft Officeのゼロデイ脆弱性 (CVE-2017-11826) を利用し、マルウェアを配信する攻撃が確認されています。

攻撃の詳細：

本脆弱性は、Microsoft Office 2007以降の製品で発見された、メモリー破損のバグです。この脆弱性を利用するには、特殊な細工が施されたファイルを、被害者が脆弱性のあるMicrosoft Officeバージョンで開く必要があります。これはメール (メール経由でマルウェアを配信) またはウェブベースの攻撃 (たとえば改ざんされたウェブサイト上にファイルを置く) によって行われます。

この攻撃では、RTFファイルが使用され、ファイルが開かれるとペイロード配信を実行するためのMicrosoft Wordタグと対応する属性を使用するリモートの任意コード実行が起動されます。

この攻撃の実行後、攻撃者は権限を所持する新しいアカウントを作成したり、データの操作や削除を行ったりすることで、システムを悪用することが可能になります。セキュリティ企業のQihoo 360は、複数の攻撃者がこの脆弱性を悪用して遠隔操作型のトロイの木馬を仕込み、機密データを盗み出したと報告しています。

対処方法：

パロアルトネットワークスの提供する次世代エンドポイントセキュリティ「Traps」は、ROP（Return-oriented Programing）の使用を阻止し、ASLR（アドレス空間配置のランダム化）に対応しないDLLからの固定アドレスの使用を防ぎ、悪質なペイロード実行をブロックすることで、本攻撃から防御します。Trapsでは、この攻撃を防止するためにアップデートを行う必要はありません。

次世代エンドポイントセキュリティ“Traps”の詳細はこちらを参照してください。