ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

Microsoft MS HTMLリモートコード実行の脆弱性 Officeドキュメントの悪意のあるActiveXコントロールを作成されるリスク

Microsoft MS HTMLリモートコード実行の脆弱性 Officeドキュメントの悪意のあるActiveXコントロールを作成されるリスクがあるそうで、すでに悪用が確認されているとのことなので、注意が必要です。

 

情報元はこちら。

Security Update Guide - Microsoft Security Response Center

 

MicrosoftMSHTMLリモートコード実行の脆弱性
CVE-2021-40444

 

CVSS:3.0 8.8 / 7.9

 

Microsoftは、MicrosoftWindowsに影響を与えるMSHTMLのリモートコード実行の脆弱性の報告を調査しています。Microsoftは、特別に作成されたMicrosoft Officeドキュメントを使用して、この脆弱性を悪用しようとする標的型攻撃を認識しています。

攻撃者は、ブラウザレンダリングエンジンをホストするMicrosoftOfficeドキュメントで使用される悪意のあるActiveXコントロールを作成する可能性があります。次に、攻撃者はユーザーに悪意のあるドキュメントを開くように説得する必要があります。システムでのユーザー権限が少なくなるようにアカウントが構成されているユーザーは、管理ユーザー権限で操作するユーザーよりも影響が少ない可能性があります。

Microsoft DefenderAntivirusとMicrosoftDefender for Endpointはどちらも、既知の脆弱性の検出と保護を提供します。お客様は、ウイルス対策製品を最新の状態に保つ必要があります。自動更新を利用するお客様は、追加のアクションを実行する必要はありません。更新を管理する企業のお客様は、検出ビルド1.349.22.0以降を選択し、環境全体に展開する必要があります。Microsoft Defender for Endpointアラートは、「疑わしいCplファイルの実行」として表示されます。

 

この調査が完了すると、マイクロソフトはお客様を保護するために適切な措置を講じます。これには、お客様のニーズに応じて、毎月のリリースプロセスを通じてセキュリティ更新を提供することや、サイクル外のセキュリティ更新を提供することが含まれる場合があります。

 

この脆弱性からシステムを保護するために実行できる手順に関する重要な情報については、「緩和策」と「回避策」のセクションを参照してください。

 

 

緩和
既定では、Microsoft Officeは、インターネットからのドキュメントをProtectedViewまたはApplicationGuard for Officeで開きます。どちらも、現在の攻撃を防ぎます。保護されたビューの詳細については、「保護されたビューとは」を参照してください。

What is Protected View?

 

回避策
Internet ExplorerですべてのActiveXコントロールのインストールを無効にすると、この攻撃が軽減されます。これは、レジストリを更新することにより、すべてのサイトで実行できます。以前にインストールされたActiveXコントロールは引き続き実行されますが、この脆弱性は公開されません。

 

警告レジストリエディタを誤って使用すると、深刻な問題が発生し、オペレーティングシステムの再インストールが必要になる場合があります。Microsoftは、RegistryEditorを誤って使用した結果として生じる問題を解決できることを保証できません。レジストリエディタは自己責任で使用してください。

個々のシステムでActiveXコントロールを無効にするには:

 

すべてのゾーンでInternetExplorerへのActiveXコントロールのインストールを無効にするには、以下をテキストファイルに貼り付け、.regファイル拡張子を付けて保存します。


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
"1001"=dword:00000003
"1004"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
"1001"=dword:00000003
"1004"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
"1001"=dword:00000003
"1004"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
"1001"=dword:00000003
"1004"=dword:00000003

 

②.regファイルをダブルクリックして、ポリシーハイブに適用します。

 

③システムを再起動して、新しい構成が適用されていることを確認します。


回避策の影響。

これにより、64ビットおよび32ビットプロセスのすべてのインターネットゾーンで、URLACTION_DOWNLOAD_SIGNED_ACTIVEX(0x1001)およびURLACTION_DOWNLOAD_UNSIGNED_ACTIVEX(0x1004)がDISABLED(3)に設定されます。新しいActiveXコントロールはインストールされません。以前にインストールしたActiveXコントロールは引き続き実行されます。

回避策を元に戻す方法

この回避策の実装で追加されたレジストリキーを削除します。

 

ロジクール ワイヤレスマウス 無線 マウス M185CG 小型 電池寿命最大12ケ月 無線マウス M185 グレー 国内正規品