ニュース

Microsoftの診断ツールにゼロデイ脆弱性、「Word」などを介してリモートから任意コードの実行が可能

同社のセキュリティチームが回避策を案内

「Microsoft Support Diagnostic Tool」(MSDT)に未修整の脆弱性(CVE-2022-30190)

 米Microsoftは5月30日(現地時間)、「Microsoft Support Diagnostic Tool」(MSDT)に未修整の脆弱性(CVE-2022-30190)が発見されたとして、回避策を案内するガイダンスを公開した。この脆弱性をついた攻撃もすでに確認されているとのことで、警戒が必要だ。

 本脆弱性は、「Microsoft Word」などのアプリケーションからURLプロトコルを介してMSDTが呼び出された場合に、呼び出し元アプリケーションの権限でリモートからコードが実行されるおそれがあるというもの。「Microsoft Office」製品は既定で「保護ビュー」が有効化されているためすぐさま攻撃を受けることはないが、不用意に「保護ビュー」を解除すれば影響を受ける可能性はある。深刻度の評価は「Important」。

 回避策としては、MSDTプロトコルを一時的に無効化してしまうのが有効だ。管理者権限で「コマンド プロンプト」などを起動し、以下のコマンドを実行すればよい。

# レジストリをバックアップ
reg export HKEY_CLASSES_ROOT\ms-msdt filename

# レジストリを書き換えて、プロトコルを無効化する
reg delete HKEY_CLASSES_ROOT\ms-msdt /f

 元に戻したい場合は、バックアップからレジストリを復元すればよい。

reg import filename

 また、OS内蔵のウイルス対策機能「Microsoft Defender Antivirus」でも本脆弱性を悪用した攻撃を防止できる。ウイルス対策のバージョンが「1.367.719.0」またはそれ以降であれば、以下のシグネチャーで脅威が検出される。

  • Trojan:Win32/Mesdetty.A
  • Trojan:Win32/Mesdetty.B
  • Behavior:Win32/MesdettyLaunch.A
  • Behavior:Win32/MesdettyLaunch.B
  • Behavior:Win32/MesdettyLaunch.C

 エンタープライズ環境ならば、「Application Guard for Office」や「Microsoft Defender for Endpoint」といったソリューションによる保護を受けることも可能だ。

「Microsoft Defender Antivirus」のバージョンは「Windows セキュリティ」アプリで確認可能