Follinaのプロトコル
Follinaと名付けられた攻撃手法が公開されています。
Windows環境で実行可能なリモートコード実行です。
よく見るリモートコード実行では、HTTPなどの通信プロトコルが使われます。
その通信プロトコルで問題のある内容をプログラムに流し込み、プログラムの意図しない動作を実現します。
このため、従来のセキュリティ対策では、リモートコード実行に悪用できるような通信プロトコルに焦点をあわせて対策が提供されます。
しかし、Follinaのアプローチは異なりました。
ここで注目されたプロトコルは「ms-msdt」でした。
msdtとはなんでしょう。
msdtはMicrosoft Support Diagnostics Toolです。
サポートプロフェッショナルが問題を解決や分析するために、トラブルシューティングと診断データの収集に使用されるユーティリティです。
その情報収集の実効性のため、この機構はマクロが無効になっている環境においても機能します。
マイクロソフトオフィス製品には保護ビューという機能があります。
外部から入手して開いたファイルに対してマクロが有効でない状態で開かれ、このことが一定の安全機構として利用できる機能です。
しかしmsdtは問題解決用の機構です。
保護ビューの状態でも機能します。
RTF形式(リッチテキストフォーマット)のドキュメントにこのms-msdtを使った内容を仕込んでおけば、保護ビューどころかそのファイルを開かなくてもエクスプローラーでフォーカスするだけでエクスプローラー内でプレビューが動作し、そのプレビュー動作時にms-msdtで書かれた機構が自動動作します。
正しく表現しようとしたためにわかりにくくなっているかもしれません。
誤解を招くことを承知で端的に表すとこういうことです。
ms-msdtは、マクロが無効でもクリックをしなくてもリモートコード実行ができてしまう攻撃に悪用できます。
この問題はすでに実際の環境で悪用されていることが確認されています。
In the wildです。
対策が必要です。
しかしこの問題は現時点ではいつもの対応だけでは対応できません。
最新のオフィス製品では対策が提供されていますが、他のオフィス製品ではまだ対策が提供されていません。
このため、Office 2016やOffice2021などを使っている場合、まだ修正パッチでの対策はできません。
現時点で選択できる緩和策は次の通りです。
- 関連付けを変更する
ms-msdtのファイルタイプの関連付けを削除します。
レジストリエディタを使うなどして、ms-msdtが機能できない設定状態に変更します。 - MicrosoftDefenderの機能を使用する
攻撃対象領域削減(ASR)ルールという機能がMicrosoftDefenderには搭載されています。
このなかの「すべてのOffice アプリケーションによる子プロセスの作成をブロックする」というルールを有効にします。
いずれも、脅威の緩和に加えて通常利用できている機能が利用できなくなる内容となっています。
その影響の大きさは利用者の普段使用している機構に依存します。
これは恒久対策ではありません。緩和策のひとつです。
恒久対策は、ベンダーが修正を提供開始し、利用者がそれを適用して初めて完了します。
はやく大丈夫な状態にしたいものです。
参考記事(外部リンク):Rapid Response: Microsoft Office RCE – “Follina” MSDT
Attack
www.huntress.com/blog/microsoft-office-remote-code-execution-follina-msdt-bug
