CVE-2017-11882: Two-Decades-Old Vulnerability in Microsoft Office Still Actively Leveraged For Malware Delivery

[post-views]
4月 01, 2021 · 6 分で読めます
CVE-2017-11882: Two-Decades-Old Vulnerability in Microsoft Office Still Actively Leveraged For Malware Delivery

すでに3年間パッチが適用されているにもかかわらず、ハッカーは古いリモートコード実行の脆弱性を持つMicrosoft Office(CVE-2017-11882)に依存して、マルウェアで被害者を感染させると言われています。脅威分析によれば 報告 によると、HP Bromiumの欠陥は、2020年第4四半期に活用されたすべてのエクスプロイトのほぼ4分の3を占めています。

CVE-2017-11882 の説明

CVE-2017-11882は、Microsoft Officeの方程式エディタ内のメモリ破損の不具合であり、脆弱なデバイス上でのリモートコード実行を可能にします。ハッカーは、特殊に作成されたファイルをユーザーに開かせることでこの欠陥を悪用する可能性があります。成功したエクスプロイトにより、攻撃者は現在のユーザーのコンテキストで任意のコードを実行する能力を得ます。もしユーザーが管理者権限を持ってログインしている場合、攻撃者はターゲットインスタンスを完全に制御することができます。

この脆弱性はほぼ20年前にMicrosoft Officeに導入され、 2017年の11月のPatch Tuesdayリリースで ベンダーによってパッチが適用されました。しかし、公式の修正策は、野外での攻撃者による積極的な悪用を止めることはできませんでした。2017年以降、この脆弱性はLoki、FormBook、Pony、ZBOT、Ursnif、Agent Teslaなど様々なマルウェアサンプルを配布するために使用され続けています。特にCVE-2017-11882を含む方程式エディタのエクスプロイトが非常に人気があるのは、多くのMicrosoft Officeユーザーがシステムをタイムリーに更新しないことが多く、ハッカーに開いたドアを残しているためです。

野外におけるCVE-2017-11882のエクスプロイト

共同 調査 によれば、国土安全保障省、FBI、米国政府はCVE-2017-11882を高度な脅威行為者がその悪質な運用で最も頻繁に使用する欠陥のリストに入れています。同報告書によれば、中国、北朝鮮、ロシアのハッカーは少なくとも2016年からMicrosoft Officeのバグを活用し続けています。

HP Bromiumの分析によれば、この傾向は2020年にさらに強まっており、2020年第3四半期から第4四半期にかけてCVE-2017-11882がトップのエクスプロイトとなっています。特に2020年第3四半期には、Microsoft Officeの脆弱性が使用されているエクスプロイトのほぼ90%を占めていました。そして2020年第4四半期では、パッチが適用されていないエクスプロイトを利用したすべてのサイバー攻撃の74%がCVE-2017-11882に依存していました。

検出と緩和策

CVE-2017-11882の人気に鑑み、ユーザーはできるだけ早くサービスを更新して安全性を確保するよう求められています。システムに対して脆弱性を活用した可能性のあるサイバー攻撃を検出するために、当社の優れたThreat Bounty開発者 Aytek Aytemur

が提供する最新のコミュニティSigmaルールをダウンロードできます。

このルールは以下のプラットフォームに翻訳されています:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix

EDR: Carbon Black, Sentinel One, Microsoft Defender ATP

MITRE ATT&CK:

戦術:実行、発見

技術:クライアント実行のためのエクスプロイト (T1203)、レジストリのクエリ (T1012)、システム情報の発見 (T1082)

また、 CVE-2017-1182の検出の完全なリストを Threat Detection Marketplaceで確認することができます。当社のブログを今後のアップデートでご覧ください。

Threat Detection Marketplaceに無料で登録して、業界初のSOCコンテンツライブラリにアクセスし、 100K以上の検出および応答ルールを集約し、 MITRE ATT&CKマトリックスにマッピングされたものを利用できます。自分のSigmaルールを開発する意欲がありますか? 我々のThreat Bounty Programに参加 してみませんか?脅威狩りのスキルを向上させることに熱心ですか?初心者向けのSigmaルールガイド をご覧ください。 プラットフォームへ移動

Threat Bountyに参加 Join Threat Bounty

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

MQsTTang Backdoor Detection: New Custom Malware by Mustang Panda APT Actively Used in the Latest Campaign Against Government Entities  
ブログ, 最新の脅威 — 6 分で読めます
MQsTTang Backdoor Detection: New Custom Malware by Mustang Panda APT Actively Used in the Latest Campaign Against Government Entities  
Daryna Olyniychuk
MagicWeb検出:NOBELIUM APTが高度な認証バイパスを使用
ブログ, 最新の脅威 — 6 分で読めます
MagicWeb検出:NOBELIUM APTが高度な認証バイパスを使用
Anastasiia Yevdokimova
PyPiマルウェア検出:Discordトークンを盗んでマルウェアを拡散
ブログ, 最新の脅威 — 5 分で読めます
PyPiマルウェア検出:Discordトークンを盗んでマルウェアを拡散
Anastasiia Yevdokimova