セキュリティ アドバイザリ 2953095「Microsoft Word の脆弱性により、リモートでコードが実行される」を公開


2014/03/25 16:45 更新: 回避策④ EMET を導入するの記載を更新し、Mandatory ASLR および anti-ROP features のいずれかで阻止できることを明確にしました。

2014/03/25 15:50 更新: セキュリティ アドバイザリ 2953095 の日本語版を公開しました。


本日マイクロソフトは、セキュリティ アドバイザリ 2953095「Microsoft Word の脆弱性により、リモートでコードが実行される」を公開しました。

 このアドバイザリは、Microsoft Word において確認されている脆弱性の説明、および脆弱性から保護するための回避策を提供しています。ユーザーが、影響を受けるバージョンの Word で特別に細工された RTF ファイルを開く、または特別に細工された RTF 形式の電子メール メッセージを Word を電子メール リーダーとして使用した Outlook でプレビューもしくは開いた場合に、リモートでコードが実行される可能性があります。攻撃者によりこの脆弱性が悪用された場合、攻撃者が現在のユーザーと同じユーザー権限を取得する可能性があります。

 

この脆弱性の悪用状況は、現在のところ Microsoft Word 2010 を対象とした限定的な標的型攻撃のみを確認しています。アドバイザリに記載の製品をご使用のお客様は、アドバイザリで説明している回避策を実施されることをお勧めします。

 

■ 影響を受ける環境

Microsoft Word 2003

Microsoft Word 2007

Microsoft Word 2010

Microsoft Word 2013

Microsoft Word 2013 RT

Microsoft Word Viewer

Microsoft Office 互換機能パック

Microsoft Office for Mac 2011

Word Automation Services on Microsoft SharePoint Server 2010

Word Automation Services on Microsoft SharePoint Server 2013

Microsoft Office Web Apps 2010

Microsoft Office Web Apps Server 2013

 

■ 回避策

セキュリティ更新プログラム公開までの間お客様の環境を保護するために、以下のいずれかまたは併せて回避策を実施してください。

 

回避策①Fix It を適用する

本脆弱性による攻撃を防ぐFix It ソリューションを提供開始しています。現在、本脆弱性を悪用した攻撃が限定的な範囲ですが報告されていますので、早期に対応するために、Fix It ソリューションの適用を検討してください。Fix It を適用することで、Office ファイル制限機能が構成され Word で RTF ファイルが開かれないようになります。

 

Fix It 適用方法

  1. サポート技術情報 2953095にアクセスします。
  2. 「有効にする」(Enable this fix it) に記載されている Fix It をクリックします (Fix It 51010)

  3. ウィザードに従い実行します。(Fix It のウィザードは英語版のみとなりますが、英語版以外の Windows でも機能します)

 

注意事項

    • Fix It 適用にはローカル管理者権限が必要です
    • Fix It 適用後、Word で RTF ファイルを開こうとすると、以下のダイアログが表示されます。
    • Fix Itのウィザードは英語版のみとなりますが、英語版以外の Windows でも機能します。
    • 問題のあるコンピューターとは別のコンピューターを操作している場合、自動的な解決ツールをフラッシュ ドライブまたは CD に保存することで、問題のあるコンピューターで実行することができます。

 

補足事項

  • Fix It ソリューションを無効にするには、サポート技術情報 2953095 にアクセスし、「無効にする」(Disable this fix it) のFix It (Fix It 51011) を実行します。

  

回避策② 電子メールをプレーン テキストで読む

Outlook 2003, Outlook 2007, Outlook 2010, Outlook 2013 では電子メール メッセージをプレーン テキスト形式で読むためのオプションを提供しています。詳細は、サポート技術情報 831607 およびテキスト形式で電子メール メッセージを閲覧するをご覧ください。

回避策③ MOICE を使用して、Word で RTF ファイルが開かれるのを防ぐ

MOICE を利用して、Excel, PowerPoint, Word の特定のファイル形式をブロックするように設定できます。Word 2007, Word 2010, Word 2013 をお使いのお客様は、Office 2013 のファイル制限機能の設定を計画するをご覧ください。Word 2003 をお使いのお客様はアドバイザリに記載の手順でレジストリを設定してください。

回避策④ EMET を導入する

Enhanced Mitigation Experience Toolkit (EMET) の既定の構成で、現在確認されている悪用を防ぐことを確認しています。今回の場合、Mandatory ASLR および anti-ROP features が効果的に悪用を阻止します。(追記: Mandatory ASLR または anti-ROP features のいずれかを設定いただければ現在確認されている攻撃を阻止することができます)

EMET については、私たちのチームのブログでも解説をご用意しています。まだご存知のない方は、ぜひこの機会に導入をご検討ください。

 

セキュリティ TechCenter「Enhanced Mitigation Experience Toolkit

日本のセキュリティ チーム ブログ 「EMET 4.1 を公開 ~ 構成ファイルや管理機能の強化

 

 ■ 参考リンク

Microsoft Security Response Center (MSRC) ブログ

Microsoft Releases Security Advisory 2953095 (英語情報)

Security Research and Defense ブログ

Security Advisory 2953095: recommendation to stay protected and for detections (英語情報)