Trusted Design

解説:

CVE-2024-30040について、以下の観点で解説します。

---

1. 脆弱性の概要

CVE-2024-30040は、Windows MSHTML Platformにおけるセキュリティ機能のバイパスの脆弱性です。この脆弱性は、Microsoft 365およびMicrosoft OfficeアプリケーションにおけるOLE (Object Linking and Embedding) の緩和策を回避することを可能にします。これにより、攻撃者はユーザーが悪意のあるドキュメントを操作した際に、ユーザーのコンテキストで任意のコードを実行することができます。MSHTMLプラットフォーム（Tridentとしても知られる）は、Internet Explorerで使用されていたレガシーブラウザエンジンであり、様々なアプリケーションの互換性シナリオをサポートするためにWindowsに統合され続けています。

根本原因は、MSHTMLレンダリングエンジンのOLEオブジェクト処理における不適切な入力検証（CWE-20）にあります。

1.1 影響

この脆弱性が悪用されると、攻撃者はセキュリティ緩和策を回避し、任意のコードを実行できます。攻撃者は影響を受けるシステムを完全に制御できる可能性があります。これには、マルウェアのインストール、機密データへのアクセスまたは変更、新しい特権アカウントの作成、影響を受けるユーザーのコンテキストでの任意のコマンドの実行が含まれます。

1.2 深刻度

• CVSS v3.1 基本スコア: 8.8 (High)
• CVSS v3.1 ベクター: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
  • 攻撃経路 (AV): ネットワーク
  • 攻撃の複雑さ (AC): 低
  • 必要な特権 (PR): 不要
  • ユーザーインタラクション (UI): 必要
  • スコープ (S): 変更なし
  • 機密性 (C): 高
  • 完全性 (I): 高
  • 可用性 (A): 高
• この脆弱性は、実環境で積極的に悪用されており、CISAの「既知の悪用された脆弱性（Known Exploited Vulnerabilities - KEV）」カタログに追加されています。

2. 対象となる環境

2.1 影響を受けるOSバージョン

以下のMicrosoft WindowsおよびWindows Serverのバージョンが影響を受けます。

• Microsoft Windows 10 (バージョン 1507, 1607, 1809, 21H2, 22H2)
• Microsoft Windows 11 (バージョン 21H2, 22H2, 23H2)
• Microsoft Windows Server 2016
• Microsoft Windows Server 2019
• Microsoft Windows Server 2022 (23H2を含む)

2.2 影響を受ける設定

この脆弱性は、Windows MSHTML Platformの機能に存在し、Microsoft 365およびMicrosoft OfficeアプリケーションのOLE緩和策をバイパスします。特定の「設定」が脆弱性を引き起こすわけではなく、影響を受けるOSがOffice/MSHTMLを使用している場合に脆弱性が発生します。

3. 影響を受けた時の兆候

以下のような兆候が確認される可能性があります。

• 未知の送信者から電子メールで受信した不審なOfficeドキュメント（.docx、.xlsx、.rtf、.doc）。
• Microsoft Officeアプリケーション（例: winword.exe, excel.exe）から、通常とは異なる子プロセスが生成される。
• Officeアプリケーションが未知の外部IPアドレスへのネットワーク接続を開始する。
• Officeドキュメント内に不審なOLEオブジェクトまたは埋め込みコンテンツが存在する。
• システム全体で通常とは異なるアクティビティ。

4. 推奨対策

4.1 本対策

• Microsoftが2024年5月にリリースしたセキュリティ更新プログラムを、すべての影響を受けるWindowsシステムに直ちに適用してください。
• 特に、外部ソースからのOfficeドキュメントを頻繁に操作するシステムでは、パッチ適用を優先してください。

4.2 暫定回避策（緩和策）

パッチ適用が完了するまでの間、以下の対策を講じることでリスクを軽減できます。

• クラウド提供型保護機能を有効にしたMicrosoft Defender Antivirusを導入する。
• ユーザーの権限を見直し、制限して、潜在的な悪用の影響を最小限に抑える。
• Internet ExplorerおよびEdgeが信頼できないWebサイトにアクセスすることを制限する。
• この脆弱性を悪用していることが知られているサイトへのアクセスをブロックするために、Webフィルタリングソリューションを展開する。
• 悪意のあるコンテンツとのユーザーの相互作用の可能性を減らすために、厳格な電子メールおよびWebブラウジングポリシーを実施する。
• 未承認の実行可能ファイルが実行されるのを防ぐために、アプリケーションのホワイトリスティングを使用する。
• 不審なリンクをクリックしたり、信頼できない添付ファイルを開いたりすることの危険性を強調するセキュリティ意識向上トレーニングを定期的にユーザーに実施する。
• 悪用を示唆する可能性のある異常なアクティビティがないかシステムを監視する。

これらの緩和策は、パッチ適用が完了するまでの攻撃対象領域を減らすのに役立ちますが、公式パッチを適用することの代替策と見なすべきではありません。

他に解説すべき観点

• この脆弱性は、実環境で積極的に悪用されたゼロデイ脆弱性として確認されています。
• QakBotなどのマルウェアがこの脆弱性を悪用していることが知られています。
• 脅威アクター「Void Banshee」がこの脆弱性を悪用していると特定されています。

参照したサイト

• CVE-2024-30040: Windows 10 1507 Auth Bypass Vulnerability - SentinelOne
• CVE-2024-30040 : Windows MSHTML Platform Security Feature Bypass Vulnerability - SecurityScorecard
• CVE-2024-30040 - Exploits & Severity - Feedly
• CVE-2024-30040 | INCIBE-CERT
• CVE-2024-30040 - GitHub
• CVE-2024-30040 | Vulnerability Database | Aqua Security
• Microsoft Windows: CVE-2024-30040: Windows MSHTML Platform Security Feature Bypass Vulnerability - Rapid7
• CVE-2024-30040 Detail - NVD
• CVE-2024-30040 - CVE Record
• Vulnerability Summary for the Week of May 13, 2024 - CISA
• CVE-2024-30040 | Tenable®
• HTTP:STC:CVE-2024-30040-SECBYPS - Juniper Networks