Follina脆弱性検出: 野生で悪用されている新しいMicrosoft Officeゼロデー

サイバーセキュリティの研究者は、野に出現したMicrosoft Officeの新しいゼロデイ脆弱性に注目しています。5月27日に、Follinaゼロデイ脆弱性が最初に文書化され、ベラルーシから提出されたと報告されました。研究によると、新たに発見されたMicrosoft Officeのゼロデイ脆弱性は、侵害されたWindowsデバイスで任意のコード実行を引き起こす可能性があります。

Follina脆弱性の悪用試行を検出する

サイバーセキュリティの専門家がFollinaゼロデイの悪用試行を検出できるようにするため、SOC Prime TeamはDetection as Codeプラットフォームで利用可能な専用のSigmaルールセットをリリースし、対応するタグを付けました。このルールキットにアクセスするには、既存の認証情報でSOC Primeのプラットフォームにログインするか、アカウントを作成してください。

Follina Microsoft Officeゼロデイ脆弱性を悪用しようとする試行を検出するためのSigmaルール

すべての検出は、SOC Primeのプラットフォームでサポートされている複数のセキュリティソリューションに対応しており、Defense Evasionの戦術にTemplate Injection（T1221）を主要な技術として挙げたMITRE ATT&CKフレームワークと一致しています。

チームは、Follina脆弱性の悪用に関連する最新のサイバー攻撃の痕跡を特定するのに役立つ別のSigmaルールを利用することもできます。

LOLBAS msdt（cmdline経由）

前述のSigmaルールは、23のSIEM、EDR、XDRソリューションで使用可能であり、MITRE ATT&CKフレームワークに基づくDefense Evasion戦術の手段であるSigned Binary Proxy Execution（T1218）技術に対応しています。

クリックしてください 検出を表示 ボタンを押すと、新たな脅威の出現に常に対応できる包括的な検出アルゴリズムのコレクションにアクセスできます。プロフェッショナルなスキルを向上させつつ、共同の専門知識に貢献したいサイバーセキュリティ研究者やThreat Huntersは、弊社のThreat Bounty Programにぜひ参加してください。このクラウドソーシングイニシアチブに参加することで、サイバーセキュリティの専門家は、検出コンテンツをマネタイズする機会を得ると同時に、将来に備えたサイバー防御に貢献できます。

検出を表示 Threat Bountyに参加

Follina脆弱性の分析

Microsoft SharePoint Serverで追跡された重大なRCE脆弱性の直後に CVE-2022-29108、Microsoftの製品を危険にさらす別の脆弱性が注目されています。この新しいMicrosoft Officeのゼロデイ脆弱性は「Follina」と呼ばれ、 日本のサイバーセキュリティ研究チームnao_sec が、ベラルーシのIPアドレスからVirusTotalにアップロードされた悪意のあるWordファイルを発見した際にサイバー脅威の舞台に登場しました。このWordドキュメントはリモートテンプレートからHTMLファイルを読み込んで感染チェーンを起動し、その後に悪意のあるPowerShellコードを実行してシステムを感染させます。

問題を悪化させるのは、Microsoft Wordがマクロを無効にしている場合でもMicrosoft Support Diagnostics Toolを通じて悪意のあるコードを実行することです。さらに、Microsoft Defender for Endpointはこの欠陥を検出することができませんでした、これは Kevin Beaumontによる研究によるもので 、彼がこの新しいMicrosoft Officeコード実行脆弱性に名前をつけることになりました。このバグは、2013年や2016年などの複数のOfficeバージョンに影響を与え、2021年のパッチ済みバージョンと他の脆弱である可能性のあるバージョンも含まれます。脅威に迅速に対応するために、サイバー防御者はFollina脆弱性のPOCコードサンプルを公開しています。これにより、GitHubなどで既に公開されている露出の特定に役立ちます。

この脆弱性は未パッチであり、野において悪用されているため、セキュリティベンダーによる即時の対応が必要です。推奨されるFollina脆弱性の緩和策の一つとして、OfficeユーザーにはOutlookのメールにおいてMS Protocol URIスキームの適用が推奨されています。

進歩的なセキュリティリーダーは常に将来に備えたコスト効率の高いソリューションを模索しており、サイバー防御能力を加速し、組織のサイバーセキュリティ態勢を向上させています。 SOC PrimeのDetection as Codeプラットフォーム を活用することで、チームはSIEMおよびXDRへの投資からより多くの価値を引き出し、サイバーセキュリティの有効性を大幅に向上させます。