2022年5月27日、nao_sec氏が、ベラルーシのIPアドレスからVirusTotalに送信された悪意のあるWordドキュメントを発見しました。このドキュメントは、MS-MSDT URIスキームを悪用して、ローカルのOfficeマクロポリシーの適用を回避し、Wordのコンテキスト内でPowerShellを実行するものでした。その後Microsoftは、保護ガイダンスをリリースし、この脆弱性にCVE-2022-30190を割り当てました。

問題の詳細

悪意のあるWordドキュメントが、リモートテンプレート機能を使用してリモートサーバーからHTMLファイルを取得します。このHTMLコードがMicrosoftのMS-MSDT URIプロトコルスキームを使用してさらにコードを読み込み、PowerShellコードを実行します。

悪意のあるOfficeドキュメントを用いた攻撃の多くでは、ユーザーを欺いて以下2つのプロンプトをクリックさせる必要があります。

編集を有効にする(保護モード)
コンテンツの有効化(マクロの実行)

しかし、今回の脆弱性は、ユーザーにOfficeドキュメントを開かせるだけでエクスプロイトできてしまいます。RTFファイルを使用する場合は、ユーザーがWindowsエクスプローラーのプレビューウィンドウでプレビューするだけで、この脆弱性をエクスプロイトできます。

Microsoftによる説明は次のとおりです。「Wordなどの呼び出し元のアプリからURLプロトコルを使用してMSDTが呼び出される際に、リモートでコードが実行される脆弱性が存在します。この脆弱性の悪用に成功すると、攻撃者は呼び出し元のアプリの権限で任意のコードを実行できます。そして、ユーザーの権限で許可されているコンテキストで、プログラムのインストール、データの表示や変更や削除、新しいアカウントの作成を行うことができてしまいます」

影響を受けるシステム

以下のバージョンのWindowsオペレーティングシステムを実行しているすべてのクライアントおよびサーバープラットフォームが、この脆弱性の影響を受けます。

Windows Server 2012 R2 (Server Coreをインストール)
Windows Server 2012 R2
Windows Server 2012 (Server Coreをインストール)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems サービスパック 1 (Server Coreをインストール)
Windows Server 2008 R2 for x64-based Systems サービスパック 1
Windows Server 2008 for x64-based Systems サービスパック 2 (Server Coreをインストール)
Windows Server 2008 for x64-based Systems サービスパック 2
Windows Server 2008 for x32-bit Systems サービスパック 2 (Server Coreをインストール)
Windows Server 2008 for x32-bit Systems サービスパック 2
Windows RT 8.1
Windows 8.1 for x64-based Systems
Windows 8.1 for 32-bit Systems
Windows 7 for x64-based Systems Service Pack 1
Windows 7 for 32-bit Systems Service Pack 1
Windows Server 2016 (Server Coreインストール)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 for ARM64-based Systems
Windows 11 for x64-based systems
Windows Server Version 20H2 (Server Coreインストール)
Windows 10 Version 20H2 for ARM64-based Systems
Windows 10 Version 20H2 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows Server 2022 Azure Edition Core Hotpatch
Windows Server 2022 (Server Coreをインストール)
Windows Server 2022
Windows 10 Version 21H1 for 32-bit Systems
Windows 10 Version 21H1 for ARM64-based Systems
Windows 10 Version 21H1 for x64-based Systems
Windows Server 2019 (Server Coreインストール)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems

各組織で行える対策

トラブルシューティングツールを起動して脆弱なシステムでコードを実行するために脅威アクターが悪用するMSDT URLプロトコルを無効にすることで、CVE-2022-30190のエクスプロイトの試みを阻止できます。また、悪意のあるドキュメントをプレビューすることでエクスプロイトが実行されないよう、Windowsエクスプローラーのプレビューウィンドウを無効にすることもお勧めします。

MSDT URLプロトコルを無効化する手順

MSDT URLプロトコルを無効にすることで、トラブルシューティングツールが起動してオペレーティングシステム全体へのリンクとして悪用されるのを防ぐことができます。トラブルシューティングツールには、引き続き「問い合わせ」アプリを使用して開けるほか、システム設定で[その他のトラブルシューティングツール]または[追加のトラブルシューティングツール]を選択してアクセスできます。無効化の手順は以下の通りです。