Microsoft Windows の OLE オブジェクト処理に起因する任意コード実行の脆弱性（Scan Tech Report）

1.概要
Microsoft Windows の OLE パッケージャに任意のコードが実行可能な脆弱性が報告されています。
ユーザが OLE オブジェクトが埋め込まれた悪質な Office ファイルを閲覧した場合に、リモートの第三者によってシステム上で不正な操作が実行される可能性があります。
PowerPoint ファイルを利用した標的型攻撃も確認されており、脆弱性を悪用された場合の影響度が高いため、パッチ未適用の Windwos OS を利用するユーザは可能な限り以下に記載する対策を実施することを推奨します。

2.深刻度(CVSS)
9.3
https://nvd.nist.gov/cvss.cfm?version=2&name=CVE-2014-6352&vector=(AV:N/AC:M/Au:N/C:C/I:C/A:C)

3.影響を受けるソフトウェア
Microsoft Windows Vista
Microsoft Windows Server 2008/2008 R2※1
Microsoft Windows 7
Microsoft Windows 8/8.1
Microsoft Windows Server 2012/2012 R2※1
Microsoft Windows RT/RT 8.1

※1 Server Core インストールを実施した Windows Server 2008/2008 R2, Windows Server 2012/2012 R2 は、この脆弱性の影響を受けません。

4.解説
Object Linking and Embedding (OLE) は、複数のアプリケーションソフト間でデータやオブジェクトを共有するための技術であり、例えば、PowerPoint ファイルに Excel データを挿入し利用することが可能です。

Microsoft Windows の OLE パッケージャ (packager.dll) には、Office ファイルに含まれる OLE オブジェクトを適切に処理しないため、任意のコード実行が可能な脆弱性が存在します。

この脆弱性を利用することで、リモートの攻撃者は、Office アプリケーションを実行するユーザの権限で攻撃コードが実行可能となります。

なお、ユーザアカウント制御 (UAC) が有効な環境で、この脆弱性が悪用された場合、攻撃コードが含まれるファイルが実行される前にユーザ特権に応じて、UAC 警告が表示されます。但し、Python がインストールされている場合は、この限りではなく、UAC を回避されてしまう可能性があります。

この脆弱性は、ロシアの Sandworm Team が標的型攻撃として利用した脆弱性 (CVE-2014-4114) と類似しますが、異なる問題になります。また、同じパッチ (MS14-064) で解消される Scan Tech Report Vol.605 で紹介した問題 (CVE-2014-6332) とも異なるものになります。

5.対策
以下の Web サイトを参考に、それぞれの Windows OS バージョンに対応するパッチ (MS14-064) を入手し適用することで、この脆弱性を解消することが可能です。
※Windows Update/Microsoft Update を行うことでも同様に脆弱性を解消することが可能です。

MS14-064:
http://technet.microsoft.com/security/bulletin/MS14-064

あるいは、下記のいずれかの緩和策を実施することで、現在確認されている攻撃による影響を緩和することが可能です。

・Microsoft Fix it (Fix it 51026) を適用する※2
・UAC を有効にする
・Enhanced Mitigation Experience Toolkit (EMET) を使用する※3

※2 http://support.microsoft.com/kb/3010060
※3 http://technet.microsoft.com/ja-jp/security/jj653751.aspx

6.ソースコード
（Web非公開）

（執筆：株式会社ラック　サイバー・グリッド研究所）

※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録（有料）下さい。

Scan Tech Report
http://scan.netsecurity.ne.jp/archives/51916302.html