CVE-2022-30190への対応に関するアドバイザリー：Microsoft Windowsサポート診断ツール(MSDT)のリモート コード実行の脆弱性

背景

2022年5月27日、nao_sec氏が、ベラルーシのIPアドレスからVirusTotalに送信された悪意のあるWordドキュメントを発見しました。このドキュメントは、MS-MSDT URIスキームを悪用して、ローカルのOfficeマクロ ポリシーの適用を回避し、Wordのコンテキスト内でPowerShellを実行するものでした。その後Microsoftは、保護ガイダンスをリリースし、この脆弱性にCVE-2022-30190を割り当てました。

問題の詳細

悪意のあるWordドキュメントが、リモート テンプレート機能を使用してリモート サーバーからHTMLファイルを取得します。このHTMLコードがMicrosoftのMS-MSDT URIプロトコル スキームを使用してさらにコードを読み込み、PowerShellコードを実行します。

悪意のあるOfficeドキュメントを用いた攻撃の多くでは、ユーザーを欺いて以下2つのプロンプトをクリックさせる必要があります。

• 編集を有効にする(保護モード)
• コンテンツの有効化(マクロの実行)

しかし、今回の脆弱性は、ユーザーにOfficeドキュメントを開かせるだけでエクスプロイトできてしまいます。RTFファイルを使用する場合は、ユーザーがWindowsエクスプローラーのプレビュー ウィンドウでプレビューするだけで、この脆弱性をエクスプロイトできます。

Microsoftによる説明は次のとおりです。「Wordなどの呼び出し元のアプリからURLプロトコルを使用してMSDTが呼び出される際に、リモートでコードが実行される脆弱性が存在します。この脆弱性の悪用に成功すると、攻撃者は呼び出し元のアプリの権限で任意のコードを実行できます。そして、ユーザーの権限で許可されているコンテキストで、プログラムのインストール、データの表示や変更や削除、新しいアカウントの作成を行うことができてしまいます」

影響を受けるシステム

以下のバージョンのWindowsオペレーティング システムを実行しているすべてのクライアントおよびサーバー プラットフォームが、この脆弱性の影響を受けます。

• Windows Server 2012 R2 (Server Coreをインストール)
• Windows Server 2012 R2
• Windows Server 2012 (Server Coreをインストール)
• Windows Server 2012
• Windows Server 2008 R2 for x64-based Systems サービス パック 1 (Server Coreをインストール)
• Windows Server 2008 R2 for x64-based Systems サービス パック 1
• Windows Server 2008 for x64-based Systems サービス パック 2 (Server Coreをインストール)
• Windows Server 2008 for x64-based Systems サービス パック 2
• Windows Server 2008 for x32-bit Systems サービス パック 2 (Server Coreをインストール)
• Windows Server 2008 for x32-bit Systems サービス パック 2
• Windows RT 8.1
• Windows 8.1 for x64-based Systems
• Windows 8.1 for 32-bit Systems
• Windows 7 for x64-based Systems Service Pack 1
• Windows 7 for 32-bit Systems Service Pack 1
• Windows Server 2016 (Server Coreインストール)
• Windows Server 2016
• Windows 10 Version 1607 for x64-based Systems
• Windows 10 Version 1607 for 32-bit Systems
• Windows 10 for x64-based Systems
• Windows 10 for 32-bit Systems
• Windows 10 Version 21H2 for x64-based Systems
• Windows 10 Version 21H2 for ARM64-based Systems
• Windows 10 Version 21H2 for 32-bit Systems
• Windows 11 for ARM64-based Systems
• Windows 11 for x64-based systems
• Windows Server Version 20H2 (Server Coreインストール)
• Windows 10 Version 20H2 for ARM64-based Systems
• Windows 10 Version 20H2 for 32-bit Systems
• Windows 10 Version 20H2 for x64-based Systems
• Windows Server 2022 Azure Edition Core Hotpatch
• Windows Server 2022 (Server Coreをインストール)
• Windows Server 2022
• Windows 10 Version 21H1 for 32-bit Systems
• Windows 10 Version 21H1 for ARM64-based Systems
• Windows 10 Version 21H1 for x64-based Systems
• Windows Server 2019 (Server Coreインストール)
• Windows Server 2019
• Windows 10 Version 1809 for ARM64-based Systems
• Windows 10 Version 1809 for x64-based Systems
• Windows 10 Version 1809 for 32-bit Systems

各組織で行える対策

トラブルシューティング ツールを起動して脆弱なシステムでコードを実行するために脅威アクターが悪用するMSDT URLプロトコルを無効にすることで、CVE-2022-30190のエクスプロイトの試みを阻止できます。また、悪意のあるドキュメントをプレビューすることでエクスプロイトが実行されないよう、Windowsエクスプローラーのプレビュー ウィンドウを無効にすることもお勧めします。

MSDT URLプロトコルを無効化する手順

MSDT URLプロトコルを無効にすることで、トラブルシューティング ツールが起動してオペレーティング システム全体へのリンクとして悪用されるのを防ぐことができます。トラブルシューティング ツールには、引き続き「問い合わせ」アプリを使用して開けるほか、システム設定で[その他のトラブルシューティング ツール]または[追加のトラブルシューティング ツール]を選択してアクセスできます。無効化の手順は以下の通りです。

1. 管理者としてコマンド プロンプトを実行
2. レジストリ キーをバックアップするために、コマンド「reg export HKEY_CLASSES_ROOT\ms-msdt filename」を実行
3. コマンド「reg delete HKEY_CLASSES_ROOT\ms-msdt /f」を実行

無効化を解除する手順

1. 管理者としてコマンド プロンプトを実行
2. レジスト リキーを復元するために、コマンド「reg import filename」を実行

Zscaler の対応

高度な脅威保護

• DOC.Exploit.CVE-2022-30190
• XML/ABRisk.XNPT-2
• XML/ABRisk.HRVC-3

高度なクラウド サンドボックス
Zscaler Advanced Cloud Sandboxは、CVE-2022-30190のエクスプロイトを狙ったWordドキュメントを、悪意のあるものとして分類、検出します。

図1は、CVE-2022-30190のエクスプロイトを狙ったWordドキュメントに関するCloud Sandboxのレポートです。

 

図1：CVE-2022-30190のエクスプロイトを狙ったdocxファイルに関するCloud Sandboxのレポート

Zscalerによってリリースされた脅威シグネチャーに関連する詳細については、Zscaler Threat Libraryをご参照ください。