CVE-2017-11882: Two-Decades-Old Vulnerability in Microsoft Office Still Actively Leveraged For Malware Delivery

最新の脅威

4月 01, 2021

6 分で読めます

CVE-2017-11882: Two-Decades-Old Vulnerability in Microsoft Office Still Actively Leveraged For Malware Delivery

Alla Yurchenko
Alla Yurchenko Threat Bountyプログラムリード linkedin icon フォローする

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon
目次

週刊ダイジェストを購読

SOC Prime ユーザー限定

Newsletter Icon

すでに3年間パッチが適用されているにもかかわらず、ハッカーは古いリモートコード実行の脆弱性を持つMicrosoft Office(CVE-2017-11882)に依存して、マルウェアで被害者を感染させると言われています。脅威分析によれば 報告 によると、HP Bromiumの欠陥は、2020年第4四半期に活用されたすべてのエクスプロイトのほぼ4分の3を占めています。

CVE-2017-11882 の説明

CVE-2017-11882は、Microsoft Officeの方程式エディタ内のメモリ破損の不具合であり、脆弱なデバイス上でのリモートコード実行を可能にします。ハッカーは、特殊に作成されたファイルをユーザーに開かせることでこの欠陥を悪用する可能性があります。成功したエクスプロイトにより、攻撃者は現在のユーザーのコンテキストで任意のコードを実行する能力を得ます。もしユーザーが管理者権限を持ってログインしている場合、攻撃者はターゲットインスタンスを完全に制御することができます。

この脆弱性はほぼ20年前にMicrosoft Officeに導入され、 2017年の11月のPatch Tuesdayリリースで ベンダーによってパッチが適用されました。しかし、公式の修正策は、野外での攻撃者による積極的な悪用を止めることはできませんでした。2017年以降、この脆弱性はLoki、FormBook、Pony、ZBOT、Ursnif、Agent Teslaなど様々なマルウェアサンプルを配布するために使用され続けています。特にCVE-2017-11882を含む方程式エディタのエクスプロイトが非常に人気があるのは、多くのMicrosoft Officeユーザーがシステムをタイムリーに更新しないことが多く、ハッカーに開いたドアを残しているためです。

野外におけるCVE-2017-11882のエクスプロイト

共同 調査 によれば、国土安全保障省、FBI、米国政府はCVE-2017-11882を高度な脅威行為者がその悪質な運用で最も頻繁に使用する欠陥のリストに入れています。同報告書によれば、中国、北朝鮮、ロシアのハッカーは少なくとも2016年からMicrosoft Officeのバグを活用し続けています。

HP Bromiumの分析によれば、この傾向は2020年にさらに強まっており、2020年第3四半期から第4四半期にかけてCVE-2017-11882がトップのエクスプロイトとなっています。特に2020年第3四半期には、Microsoft Officeの脆弱性が使用されているエクスプロイトのほぼ90%を占めていました。そして2020年第4四半期では、パッチが適用されていないエクスプロイトを利用したすべてのサイバー攻撃の74%がCVE-2017-11882に依存していました。

検出と緩和策

CVE-2017-11882の人気に鑑み、ユーザーはできるだけ早くサービスを更新して安全性を確保するよう求められています。システムに対して脆弱性を活用した可能性のあるサイバー攻撃を検出するために、当社の優れたThreat Bounty開発者 Aytek Aytemur

が提供する最新のコミュニティSigmaルールをダウンロードできます。

このルールは以下のプラットフォームに翻訳されています:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix

EDR: Carbon Black, Sentinel One, Microsoft Defender ATP

MITRE ATT&CK:

戦術:実行、発見

技術:クライアント実行のためのエクスプロイト (T1203)、レジストリのクエリ (T1012)、システム情報の発見 (T1082)

また、 CVE-2017-1182の検出の完全なリストを Threat Detection Marketplaceで確認することができます。当社のブログを今後のアップデートでご覧ください。

Threat Detection Marketplaceに無料で登録して、業界初のSOCコンテンツライブラリにアクセスし、 100K以上の検出および応答ルールを集約し、 MITRE ATT&CKマトリックスにマッピングされたものを利用できます。自分のSigmaルールを開発する意欲がありますか? 我々のThreat Bounty Programに参加 してみませんか?脅威狩りのスキルを向上させることに熱心ですか?初心者向けのSigmaルールガイド をご覧ください。 プラットフォームへ移動

Threat Bountyに参加 Join Threat Bounty

SOC PrimeのDetection as Codeプラットフォームに参加し ビジネスに最も関連性のある脅威に対する可視性を向上させましょう。開始して即座に価値をもたらすためには、今すぐSOC Primeの専門家とのミーティングを予約してください。
無料で参加 ミーティングを予約

More 最新の脅威 Articles

CVE-2026-0227: Palo Alto Networks、リモートファイアウォールの中断を可能にするGlobalProtectのDoS脆弱性を修正 6 分で読めます 最新の脅威 CVE-2026-0227: Palo Alto Networks、リモートファイアウォールの中断を可能にするGlobalProtectのDoS脆弱性を修正 by Daryna Olyniychuk CVE-2026-20805: マイクロソフト、積極的に悪用されるWindowsデスクトップマネージャーゼロデイを修正 6 分で読めます 最新の脅威 CVE-2026-20805: マイクロソフト、積極的に悪用されるWindowsデスクトップマネージャーゼロデイを修正 by Daryna Olyniychuk CVE-2026-21858、つまりNi8mare:n8nプラットフォームにおける重要な認証なしリモートコード実行の脆弱性 8 分で読めます 最新の脅威 CVE-2026-21858、つまりNi8mare:n8nプラットフォームにおける重要な認証なしリモートコード実行の脆弱性 by Daryna Olyniychuk