Encapsulated PostScript (EPS) の脆弱性を利用した攻撃に対処するために団結する


本記事は、MSRC Team のブログComing together to address Encapsulated PostScript (EPS) attacks” (2017 5 9 日 米国時間公開) を翻訳したものです。


本日公開したセキュリティ更新プログラムには、セキュリティ エコシステムがコンシューマーおよびエンタープライズを保護するためにうまく機能した良い例といえる 3 つの更新プログラムが含まれています。ご協力いただいた FireEye 社および ESET 社に対し、感謝の意を表します。

最新のセキュリティ更新プログラムをインストールしたお客様は、以下に説明する攻撃から保護されています。お客様が最新の対策で保護されていることを保証するベスト プラクティスとして、最新のバージョンにアップグレードすることをお勧めします。

Microsoft Active Protections Program (MAPP) を通じて、密接に関連のある標的型攻撃についてパートナーの皆さまから個別に連絡を受けています。これらの攻撃はどちらも、非常に限定された読者を想定して注意深く細工されたフィッシング メールを通じて標的を誘導するために、不正な形式の Word ドキュメントを利用していました。どちらの攻撃も、Office の Encapsulated PostScript (EPS) フィルターのリモートでコードが実行される脆弱性と、Office のサンドボックスによる保護の外に抜け出す Windows の特権の昇格の脆弱性を含む、複数の脆弱性で構成されていました。EPS ファイルは、今日のエコシステムの興味の対象から大きく外れたレガシな形式です。そのため、2017 年 4 月に、そのコード パスを既定で無効にする多層防御の保護策をすべてのお客様に対してリリースしました。先月、Office 用の累積的な更新プログラムをインストールしたお客様は、以下に説明する攻撃が緩和されます。

  1. Word の EPS + Windows の特権の昇格 (EoP) の脆弱性 (CVE-2017-0261 + CVE-2017-0001)

この攻撃は 3 月下旬にマイクロソフトに報告されましたが、お客様は 3 月の更新プログラムで既に保護されていました。EPS の脆弱性に完全に対応し、今後も EPS フィルターを使い続ける選択をする可能性のある少数のお客様をさらに保護するために、本日、Encapsulated PostScript の脆弱性を解決する更新プログラムをリリースしました。

攻撃活動に関しては、この手法を悪用しようとする限定的な標的型攻撃を確認していますが、その攻撃は既に有効ではありません。

  1. Word の EPS + Windows の特権の昇格の脆弱性 (CVE-2017-0262 + CVE-2017-0263)

マイクロソフトでは 4 月中旬にこの攻撃を検出しましたが、お客様は EPS フィルターを既定で無効にすることで攻撃連鎖を阻止する 4 月の多層防御対策 (上記参照) によって既に保護されていました。この攻撃の根本的なフィルターの脆弱性および特権の昇格の脆弱性を解決するために、本日、追加で更新プログラムをリリースしました。

攻撃活動に関しては、この手法を悪用しようとする限定的な標的型攻撃を確認していますが、その攻撃は既に有効ではありません。

これらの更新プログラムは、進化するマルウェアに対する保護として、システムを最新の状態を保つことの効用を強調するものです。コンシューマーの皆さまについては、Windows 10 は自動的に更新プログラムを展開し、既定でお客様を保護します。エンタープライズの皆さまは、マイクロソフトが毎月公開している、更新プログラムの評価の優先順位の決定に役立つ Exploitability Index (悪用可能性指標) を含むガイダンスを活用してください。さらに、Microsoft Active Protections Program のパートナー様などの最新のマルウェア対策ソフトウェアを使用することで、解決された脆弱性を素早く悪用しようとする攻撃者の連鎖から保護されます。

マイクロソフトは長い間、お客様およびコンピューティング エコシステムの保護を維持するための最も効果的な方法として、「協調的な脆弱性の公開 (Coordinated Vulnerability Disclosure)」をサポートしてきました。また、secure@microsoft.com 宛てに懸念事項を個人的に報告してくださる世界中のセキュリティ研究者と引き続き密接に協力していきます。マイクロソフトに、内部または外部のソースから潜在的な脆弱性が報告された場合、マイクロソフト セキュリティ レスポンス センター (MSRC) は迅速に徹底した調査を開始します。私たちは、徹底的な調査、影響を受ける製品のすべてのバージョンに対する更新プログラムの開発、および他のオペレーティング システムや関連するアプリケーションとの互換性のテストを含む、幅広いプロセスに従っています。最終的に、セキュリティ更新プログラムの開発とはタイミングと最高の品質の微妙なバランスと言えます。私たちのゴールは、お客様の業務の中断を最小限に抑えながら、お客様の保護の最大化を確保することです。

今月のセキュリティ更新プログラムの詳細については、セキュリティ更新プログラム ガイドを参照してください。

MSRC チーム

 

関連リンク:

CVE-2017-0261CVE-2017-0262 および CVE-2017-0263

エンタープライズのお客様向け: Office 365 の最新の更新プログラムが適用されているかどうかを確認するためにはこちらを参照してください。

Skip to main content