WORD01
 Microsoftの製品のOffice(ワード、エクセル)でマクロを有効にしている場合、マルウェアなどのウイルスに感染するため、マクロを無効にしている人も多いとおもいます。
 しかし、Word文書でマクロを無効にしていてもマルウェアに感染する可能性があるので、注意が必要です。
HACK003
 この攻撃手法はTrustwave社SpiderLabs研究者によって発見されました。研究者によると、ハッカーは、パスワードスティーラを持つユーザーを感染させるために、マクロ無効の技術を使用していると言っております。現在、この方法は、他のハッカーがこの方法を使用される可能性もあるにもかかわず、現在一つのハッカーグループだけが、この方法を使用している状態だと言います。
 その方法は次の通りです。

1.被害者は、DOCXファイルの添付されたスパムメールを受信します。
2.被害者はこの添付されたDOCXファイルを開きます。ただし、Wordはマクロが無効になっています。
3.開いたWord文書のDOCXファイルが埋め込まれたOLEオブジェクトが含まれています。
4.OLEオブジェクトのダウンロードおよび(DOCとして偽装)RTFファイルを開きます。
5.DOCファイルは、CVE-2017から11882のOffice数式エディタの脆弱性を使用します。
6.DOCファイル内の悪用コードはMSHTAコマンドラインを実行します。
7.MSHTAは、コマンドラインのダウンロードとHTAファイルを実行します。
8.HTAファイルには、PowerShellスクリプトをアンパックするVBScriptが含まれています。
9.PowerShellスクリプトのダウンロードとパスワードスティーラをインストールします。
10.マルウェアはブラウザ、電子メール、FTPクライアントからパスワードを盗みます。
11.マルウェアをリモートサーバへこれらの情報をアップロードを行います。


 Trustwave社によると、この方法も明日や来週には変化する可能性があるものの、ユーザーが今回の方法から安全にブロックするための唯一の方法で最も簡単な方法は、最新のWindowsとOfficeを維持することだということです。
 Microsoftの2018年1月月例パッチのセキュリティアップデートは、CVE-2017から11882を軽減するために、数式エディタの機能の一部を削除したパッチが含まれています。必ず適用してください




タグ :
#Office
#マクロ
#エクセル