目次
最近話題になったセキュリティ関連のニュースから、気になるものをピックアップしてお届けします。
2023/8/22
MalDoc in PDF – 検知回避を狙って悪性なWordファイルをPDFファイルへ埋め込む手法 –
https://blogs.jpcert.or.jp/ja/2023/08/maldocinpdf.html
MalDoc in PDFで作成されたファイルはPDFのマジックナンバーやファイル構造を持つにもかかわらず、Wordで開くことが可能なファイルとなります。このファイルをWordで開くことで、ファイルにMacroが設定されていた場合、VBSが動作し、悪性の挙動を行います。
なお、JPCERT/CCが確認した攻撃では、ファイルの拡張子は.docとして使用されていたため、Windowsの設定で.docの拡張子にWordが関連付けされている場合、MalDoc in PDFで作成されたファイルはWordファイルとして開かれます。
PDFファイルにWordで作成したマクロ付きのmhtファイルを埋め込むという手法(MalDoc in PDF)で作成されたファイルは、ウィルス対策ソフトからはPDFファイルと判定されてしまい、悪性部分を検出できない可能性があるとのことです。
そこで有効な対策としてWordファイルの分析ツール”OLEVBA”が紹介されています。
“OLEVBA”は”oletools”という色々な分析ツールが入ったパッケージの中に入っています。
https://github.com/decalage2/oletools
pythonツールのため、pipでインストールできます。
Linux/Macの場合:sudo -H pip install -U oletools[full]
Windowsの場合:pip install -U oletools[full]
2023/8/22
CVE-2023-3160 -「ESET」シリーズ ローカル特権昇格の脆弱性 –
https://eset-support.canon-its.jp/faq/show/26203?site_domain=default
脆弱性の対象となる製品
◇ 個人向け製品
ESET インターネット セキュリティ(まるごと安心パックを含む)
ESET スマート セキュリティ プレミアム◇ 法人向けクライアント専用製品
ESET オフィス セキュリティ
ESET NOD32アンチウイルス
セキュリティソフト「ESET」シリーズで脆弱性が報告されています。
対象製品にはローカルによる特権昇格の脆弱性が存在しており、悪用された場合、本来権限を持たないユーザーによって任意のファイルの削除や移動ができる可能性があるとのことです。
ただし、前提条件としてローカル環境へのアクセスが必要なため外部の第三者による攻撃は難しそうです。
2023/8/24
CVE-2023-40477 -「WinRAR」 リモートコード実行の脆弱性 –
https://www.win-rar.com/singlenewsview.html?&L=0
Critical Bug: CVE-2023-40477. The vulnerability allows remote attackers to execute arbitrary code on affected installations. User interaction is required to exploit this vulnerability. This is fixed in the RAR4 recovery volume processing code.
(訳)
重大なバグ: CVE-2023-40477。この脆弱性により、リモートの攻撃者が影響を受けるインストール上で任意のコードを実行する可能性があります。この脆弱性を悪用するには、ユーザーの操作が必要です。これは、RAR4 リカバリ ボリューム処理コードで修正されています。
ファイル圧縮・解凍ソフトのWinRARで、リモートから任意のコードを実行できる脆弱性が発見されました。
攻撃にはユーザー側の操作が必要なため実際に悪用するのは困難ということですが、何においても必ず安全ということはないので、修正済みの最新版への更新は怠らないようにしましょう。
8月はあまりの暑さに更新が止まってしまいましたが、今後も継続して発信してきます。
担当 HT
