CVE-2017-11882 - 脆弱性調査レポート

  • 本文プリント

Microsoft Officeの数式エディターの脆弱性により、リモートから任意のコードが実行可能な脆弱性(CVE-2017-11882)に関する調査レポート

  • 2017年11月27日

概要

Microsoft Officeの数式エディター※1に、リモートより任意のコードが実行可能な脆弱性(CVE-2017-11882)及び、その脆弱性を利用する攻撃コードが発見されました。
本脆弱性は、数式エディターにおける、スタックベースのバッファオーバーフローの脆弱性です。
この脆弱性を利用し、攻撃者は細工を施したWordファイルを電子メール等で送信し、同ファイルを受信したユーザーがそのファイルを開くことで、リモートから、同ファイルを開いたユーザーの権限で任意のコードを実行される危険性があります。
 ※1:文書に数式を挿入するためのコンポーネント

本レポート作成(2017年11月27日)時点において、Microsoft社より脆弱性を解決する更新プログラムがリリースされております(2017年11月15日)。しかしながら、攻撃が容易であること、また攻撃を受けた際にシステムへの影響が大きいことから、今回、この脆弱性(CVE-2017-11882)の再現性について検証を行いました。

最近のソフトウェアは、DEP(Data Execution Prevention)やASLR(Address Space Layout Randomization)、CFG(Control Flow Guard)といった保護機能により、メモリ破損の脆弱性に対する影響の緩和を行っています。しかし、Microsoft Officeの数式エディターは、最新の修正プログラムが適用されたMicrosoft Office 2016のバージョンであっても、上記の保護機能が適用されないため、コード実行などの攻撃が容易となります。また、Microsoft Officeの数式エディターはOut-of-process COMサーバーのため、Microsoft Officeに対する保護機能、例えば、Microsoft Officeプログラムに対するEMETや、Windows Defender Exploit Guard、およびASR (Windows Defender Exploit Guard Attack Surface Reduction)も適用されません。

なお、Windows 7において、EMETのASLRをシステム全体のレベルで「Always On」に設定している場合には、この脆弱性に対する攻撃から保護されますが、他方、Windows 8.0からWindows 10においては、システム全体のレベルでASLRを設定できないため、この脆弱性に対する対策を行う必要があります。

影響を受ける可能性があるシステム

  • Microsoft Office 2007 Service Pack 3
  • Microsoft Office 2010 Service Pack 2 (32-bit editions)
  • Microsoft Office 2010 Service Pack 2 (64-bit editions)
  • Microsoft Office 2013 Service Pack 1 (32-bit editions)
  • Microsoft Office 2013 Service Pack 1 (64-bit editions)
  • Microsoft Office 2016 (32-bit edition)
  • Microsoft Office 2016 (64-bit edition)

対策案

Microsoft社より、この脆弱性を修正する更新プログラムがリリースされています。当該脆弱性を修正する更新プログラムを適用していただくことを推奨いたします。
ただちに更新プログラムを適用することが困難である場合、Microsoft社より更新プログラムを適用しない場合の回避策として、数式エディター 3.0 を無効にする方法が提案されています。ただし、本回避策を使用した場合の影響として、数式オブジェクトが正常に機能しない場合があると報告されています。
また、Microsoft社による公式の回避策ではありませんが、Windows 7において、EMETのASLRをシステム全体のレベルで「Always On」に設定することでも回避が可能です。

数式エディター 3.0 を無効にする手順は以下の通りです。
詳細は以下Microsoft社のWebサイトをご確認ください。
How to disable Equation Editor 3.0

  1. OfficeのバージョンがOffice2007およびそれ以降の場合
    1. 以下のレジストリサブキーのDWORD値を変更します。
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}]
      "Compatibility Flags"=dword:00000400
    2. 以下のエントリ―を削除します。
      [HKEY_CLASSES_ROOT\CLSID\{0002CE02-0000-0000-C000-000000000046}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Equation.3]
  2. Officeのバージョンが32ビット版のOffice2007およびそれ以降で、OSが64ビット版の場合
    1. 以下のレジストリサブキーのDWORD値を変更します。 [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}] "Compatibility Flags"=dword:00000400
    2. 以下のエントリ―を削除します。 [HKEY_CLASSES_ROOT\WOW6432Node\CLSID\{0002CE02-0000-0000-C000-000000000046}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Equation.3]
EMETのASLRをシステム全体のレベルで「Always On」に設定する手順は以下の通りです。
なお、下記は弊社環境(Windows 7上でEMET Version5.52を使用)の場合での設定例です。
  1. 以下のレジストリサブキーのDWORD値を変更します。
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EMET
    "EnableUnsafeSettings"=dword:1
  2. System Status項目のAddress Space Layout Randomization(ASLR)の設定を「Always On」に変更します。

    対策案:ASLRの設定を「Always On」に変更

  3. コンピューターを再起動します。

参考サイト


検証概要

添付ファイル付き電子メールを送信する等をして、脆弱性が存在するターゲットシステムが受信したと想定し、細工を施したWordファイルをターゲットシステムにて開きます。本脆弱性単体では任意のコードを実行する際に制限がありますので、まず、本脆弱性を利用して別途攻撃者が用意したHTAファイル※2にアクセスするコードを実行させます。その後、同HTAファイルによって実行形式のファイルをダウンロード、実行させます。今回の検証に用いた実行形式のファイルは、ターゲットシステム上から特定のサーバー、ポートへコネクションを確立させるよう誘導し、システム制御を奪取するものです。これにより、リモートからターゲットシステムが操作可能となります。
* 誘導先のシステムはLinuxです。
 ※2:HTMLを動的に変化させるダイナミックHTMLの機能を利用して、Windows向けのアプリケーションを作成する技術のことです。

検証ターゲットシステム

  • Windows 7 Professional SP1 日本語版
  • Microsoft Office Professional Plus 2013 SP1 日本語版

検証イメージ

検証イメージ


検証結果

下図は、誘導先のコンピュータ(Linux)の画面です。黄線で囲まれた部分は、誘導先のホストの情報です。
一方で、赤線で囲まれている部分は、ターゲットシステム(Windows7)において、ユーザーの情報、IPアドレスの情報を表示するコマンドを実行した結果が表示されています。
これにより、ターゲットシステムで任意のコマンドを実行することに成功したと判断できます。

検証結果

なお、上記対策案の数式エディター 3.0 を無効した場合、および、EMETのASLRをシステム全体のレベルで「Always On」にした場合には、任意のコマンドが実行できず攻撃が成立しないことが確認できました。


更新履歴

2017年11月27日 : 初版公開

セキュティソリューション一覧

脆弱性調査レポートのメール配信を開始しました!

ご好評いただいている「脆弱性調査レポート」ですが、コンテンツの都合上、レポートの発行は不定期です。そこで、新しい脆弱性調査レポートを発行するたびに最新情報をメールでお届けする「脆弱性調査レポート メール」の配信を開始しました。ぜひご登録ください。

本件に関するお問い合わせ先

『報道関係者様からのお問い合わせ』
ソフトバンク・テクノロジー株式会社
管理本部 経営企画部
コーポレートコミュニケーショングループ
TEL:03-6892-3063
メールアドレス:sbt-pr@tech.softbank.co.jp
『お客様からのお問い合わせ』
下記問い合わせフォームよりお問い合わせください。

お問い合わせ・資料請求

課題や悩みをお持ちのお客様は、
まずお気軽にご相談ください。

総合お問い合わせはこちら

目的別・サービス別のご相談は「お問い合わせ・資料請求先一覧」からお問い合わせください。

お問い合わせ・資料請求

課題や悩みをお持ちのお客様は、まずお気軽にご相談ください。

総合お問い合わせはこちら
  • SBT Talents
  • プライバシーマーク制度

  • ISMS認証登録範囲:
    本社、汐留、大阪、
    名古屋、福岡

ページトップへ