ニュース
Microsoftの診断ツールにゼロデイ脆弱性、「Word」などを介してリモートから任意コードの実行が可能
同社のセキュリティチームが回避策を案内
2022年5月31日 10:30
米Microsoftは5月30日(現地時間)、「Microsoft Support Diagnostic Tool」(MSDT)に未修整の脆弱性(CVE-2022-30190)が発見されたとして、回避策を案内するガイダンスを公開した。この脆弱性をついた攻撃もすでに確認されているとのことで、警戒が必要だ。
本脆弱性は、「Microsoft Word」などのアプリケーションからURLプロトコルを介してMSDTが呼び出された場合に、呼び出し元アプリケーションの権限でリモートからコードが実行されるおそれがあるというもの。「Microsoft Office」製品は既定で「保護ビュー」が有効化されているためすぐさま攻撃を受けることはないが、不用意に「保護ビュー」を解除すれば影響を受ける可能性はある。深刻度の評価は「Important」。
回避策としては、MSDTプロトコルを一時的に無効化してしまうのが有効だ。管理者権限で「コマンド プロンプト」などを起動し、以下のコマンドを実行すればよい。
# レジストリをバックアップ
reg export HKEY_CLASSES_ROOT\ms-msdt filename
# レジストリを書き換えて、プロトコルを無効化する
reg delete HKEY_CLASSES_ROOT\ms-msdt /f
元に戻したい場合は、バックアップからレジストリを復元すればよい。
reg import filename
また、OS内蔵のウイルス対策機能「Microsoft Defender Antivirus」でも本脆弱性を悪用した攻撃を防止できる。ウイルス対策のバージョンが「1.367.719.0」またはそれ以降であれば、以下のシグネチャーで脅威が検出される。
- Trojan:Win32/Mesdetty.A
- Trojan:Win32/Mesdetty.B
- Behavior:Win32/MesdettyLaunch.A
- Behavior:Win32/MesdettyLaunch.B
- Behavior:Win32/MesdettyLaunch.C
エンタープライズ環境ならば、「Application Guard for Office」や「Microsoft Defender for Endpoint」といったソリューションによる保護を受けることも可能だ。