マクロを必要としない Microsoft Office の DDE 攻撃

2017.10.30

ソフォスの研究チームはこの 2 週間、Microsoft の Dynamic Data Exchange (DDE) に存在する脆弱性に注目してきました。DDE は、アプリケーション間でのメッセージ送信とデータ共有に使用されるプロトコルです。



そして昨日、この攻撃に新たな展開がありました。

ソフォスは早い段階で、DDE を利用すれば、マクロを使用しなくても、不正な Office 添付ファイル (Word や Excel のファイルなど) を介してマルウェアを起動できることを発見していました。



そして金曜日、単に電子メールに Office ファイルを添付して送信するのではなく、Microsoft Outlook リッチテキスト形式 (RTF) を使用してフォーマットされた電子メールと予定表の招待状を使用することで、Outlook で DDE 攻撃を実行できるとしたレポートが複数発表されました。



当初の攻撃では、悪意のある添付ファイルをユーザーに開かせる必要がありました。しかし、電子メールのメッセージ本文そのものにコードを入れることで、攻撃はさらに進化しました。つまり、ユーザーを操るためのソーシャルエンジニアリングが以前よりも簡単になった、ということです。

ただ幸いなことに、攻撃経路が添付ファイルであっても、電子メールまたは予定表の招待状であっても、DDE 攻撃は簡単に阻止できます。



対策: [いいえ] をクリックする

添付ファイル、電子メール、およびカレンダー招待状は、DDEAUTO 攻撃が実行される前に警告メッセージとなる 2 つのダイアログをポップアップ表示します。いずれかのダイアログで [いいえ] をクリックしておけば、攻撃を防止できます (現時点で、これらのダイアログボックスを迂回するメカニズムは確認されていません)。

DDE を使用すると、最初に次のような警告メッセージが表示されます。





“この文書には、他のファイルへのリンクが含まれています。リンクされたファイルのデータでこの文書を更新しますか?”


[いいえ] をクリックすれば、DDE 攻撃は実行されません。

[はい] をクリックすると、コマンドが実行されることを警告する第 2 のダイアログが表示されます (括弧内のテキストと最後に言及されているプログラム名は、場合によって異なります)。





“遠隔データ (k powershell -w hidden -NoP -NoExit -) はアクセスできません。アプリケーション C:\windows\system32\cmd.exe を起動しますか?”



先ほどと同じく、[いいえ] をクリックすれば攻撃は実行されません。

また、電子メールメッセージがどのような形式で送信されていても、すべてのメッセージをプレーンテキスト形式で表示することで、電子メールに直接埋め込まれている DDE 攻撃を無害化できます。



ただし、HTML 形式で送信されたものを含め、すべてのメッセージのすべての書式、色、画像が無効になるため、一部のメッセージは読みにくくなり、送信者が表示させたいコンテンツが表示されなくなる可能性があります。

Outlook ですべての電子メールをプレーンテキスト形式で表示する方法については、Microsoft サポートの Web サイトを参照してください。



詳細については、以下の Facebook Live のショートビデオ (英語) をご覧ください。



Just say “No!” – how to stop the DDE email attack

(ビデオが再生されない場合は、Facebook でご覧ください。)



(Facebook アカウントがなくてもビデオはご覧いただけます。アカウントをお持ちの方はログイン不要です。音声が聞こえない場合は、画面右下にあるスピーカーのアイコンをクリックしてミュートを解除してください。)



ソフォス製品は、以下の名前で DDE 攻撃をブロックします。



  • CXmail/OffDDE-*: 電子メールで送信された添付ファイルと不正なメッセージ
  • Troj/RtfDDE-*: 不正な RTF ファイル
  • Troj/DocDl-DJV: 追加のマルウェアのダウンロードを試みる DDE 攻撃

引用元

おすすめの記事はこちら