PowerPointのハイパーリンクを悪用し、ホバーするだけでマルウェアをインストールする攻撃 32
不明なファイルはとりあえず開くな 部門より
PowerPointのスライドショー形式ファイルを使い、マルウェアをインストールさせるスパムキャンペーンが5月下旬に発生していたそうだ(TrendLabs Security Intelligence Blog、Dodge This Security、Neowin、Ars Technica)。
使われたファイルは.pps/.ppsxファイルで、直接プレゼンテーション/スライドショーモードで起動する。マクロやVBAなどは使われておらず、ハイパーリンクのmouseoverアクションにPowerShellでマルウェアをダウンロードしてインストールさせる処理が指定されているという。なお、今回のスパムキャンペーンではZusyやOTLARD、Gootkitなどと呼ばれるインターネットバンキングを対象にしたトロイの木馬がインストールされるようになっていたそうだ。
このファイルは明細書のようなタイトルのスパムメールに添付して送付され、被害者がファイルを開くと「Loading...Please wait」というテキストがハイパーリンクとして表示される。あとは被害者がハイパーリンク上にマウスをホバーするだけでアクションが実行される仕組みだ。
PowerPoint 2010以降では保護ビューが既定で有効になっており、ハイパーリンクをホバーした際に外部プログラムの実行をブロックしたというメッセージが表示される。ただし、メッセージ上のボタンで実行の有効化を選択すればブロックは解除されてしまうとのこと。
Trend Microの観測によれば、このスパムキャンペーンはEMEA地域、特に英国、ポーランド、オランダ、スウェーデンの組織が影響を受けたといい、ピーク時の5月25日には1,444件の検出が報告されたそうだ。しかし翌26日には782件に減少し、29日には収束したとのことだ。
確認ダイアログの意味 (スコア:0)
何かしらダイアログが出たときにすぐOK押す人がいる
少し立ち止まって確認してねっていう意味なのに無条件で了承してしまう
そういう人ばっかりだよね
UACとかレジストリいじって無効にしたり回避したりするのも意味わかった上でしてるのか気になる
Googleで”Windows UAC”と検索すると無効とか回避だの単語がサジェストされる時点でおかしいんだよ
玄関ノックされれば何も疑わずすぐドア開けるの?
身元も用事も確かめないうちに開けるの?
それと同じだとなぜ気がつかないのだろう
Re:確認ダイアログの意味 (スコア:1)
確認ダイアログを、「開きますか? はい/いいえ」「無視しますか? はい/いいえ」とかランダムに切り換えるようにするとか。
Re:確認ダイアログの意味 (スコア:1)
¶「だますのなら、最後までだまさなきゃね」/ 罵声に包まれて、君はほほえむ。
Re:確認ダイアログの意味 (スコア:1)
そもそも、ダイアログの文面読んでませんし、そういう人は。
「なんて書いてあった?」って訊いて、ろくな解答が帰ってきた記憶が無い。
実は日本語より英文のほうがまだまし。「なんか英語が出てきました」って耳かき一杯程度の情報は手に入る。
Re: (スコア:0)
無駄な確認画面で溢れかえっているのが悪い
全ての確認画面に「次回以降確認しない」のようなチェックボックスの設置を義務付ければだいぶマシになるだろうに
Re: (スコア:0)
そんなもの付けたら地獄になるのは目に見えてる。
そんでチェックしたやつの自己責任とか言うんでしょ?
Re: (スコア:0)
いや毎回聞かれるから機械的にOKするんで有って
たまにしか聞かれないならちゃんと考えるぞ。
「次回以降確認しない」をつけなかったのは頭足りないと思う。
Re:確認ダイアログの意味 (スコア:1)
Re: (スコア:0)
頻繁に聞かれているのなら、異常なアプリを使ってる状態なので、その環境を変えるべき。
Re: (スコア:0)
未保存の文書があるわけでも終了したら起動するのに何十秒もかかるわけでもないソフトの「終了してよろしいですか?」のように本当にどうしようもない無駄な確認ダイアログを実装した奴を可能な限り苦しい方法で処刑するために全人類が総力を挙げて処刑方法の開発にいそしむ法律の方が必要だ
Re: (スコア:0)
そう言えば
rm -rf / も安全になったと言っても
結局実行前に確認するだけなんだよな
開発者モードの廃止で被害者が増えそうだ
でも、ダイアログのOK押すより
y+リターンの方が少しは慎重になりそうな気がするが
還付金詐欺のATM操作より単純だし
この手のセキュリティホールはどうしようもないのかなあ
Struts2じゃあるまいし (スコア:0)
Re: (スコア:0)
jseファイルをInvoke-Itemしてもメモ帳が開くだけならそもそも問題は起こらなかった
Microsoftはデフォルトの関連付けが危険すぎる
Re: (スコア:0)
元コメを含めて理解が低すぎる。
とりあえずMSのせいにしとけばいいと思ってるだろ。
Office VBAにしろ(それが呼び出す)PowerShellにしろ、
現在のユーザ権限におけるあらゆるシステム操作が可能な完全なプログラミング言語なんだから、
実行を許可した時点で、なんでもできてしまうのは避けようがない。
文字列評価だのファイルの関連付けだのまったく関係がない。
実際、ストーリーにも元記事にも、OfficeやPowerShellの脆弱性とは一言も書いていない。
これはソーシャルハッキングであって脆弱性に対する攻撃ではないからだ。
できるのは、Officeファイルは実行プログラムと同じ程度の危険性があることを理解して、
外部から入手したファイルを慎重に扱うよう教育することだけ。
Re: (スコア:0)
すみませんが、教えてもらえると嬉しいです。
できるのは、Officeファイルは実行プログラムと同じ程度の危険性があることを理解して、
外部から入手したファイルを慎重に扱うよう教育することだけ。
このような危険性は、管理者権限のない一般ユーザで利用していれば回避できますか?
それとも一般ユーザでも危険ですか?
Re: (スコア:0)
現在のユーザ権限におけるあらゆるシステム操作が可能な完全なプログラミング言語
一般ユーザでも実行されます。
Re: (スコア:0)
ありがとうございました! 一般ユーザでも気を付けます!
Hover! (スコア:0)
Re: (スコア:0)
今はweb版がある
http://hover.ie/ [hover.ie]
ホバー? マウスオーバー? (スコア:0)
ホバー(hover)って、cssあたりの用語だと思っていたけど、いまやパワポでも使うんですね。パワポじゃ「マウスオーバー」(MS的には確か「マウスの通過」だったかな)が一般的と思ってた。
Re: (スコア:0)
つ WM_MOUSEHOVER message [microsoft.com]
Windows 2000のころからあります。
(TrackMouseEvent仕掛けないと送られてこないけど)
Re: (スコア:0)
ホバーとオーバーはまたいくらか違う操作です。
具体的には、オーバーは乗った瞬間(および乗っている間)で、ホバーは少しの時間乗り続けたとき、です。
検出件数が統計情報として出るのって (スコア:0)
記事上の「1,444件の検出」って、検疫に回した分だけ?
それとも今はそうでなくても何が検出された情報が回るようになってるのかな。
わたしきになります
Re: (スコア:0)
最近はクラウド上のパターンファイルと照合しているから、検体が提出されなくてもアンチウイルスベンダーが検出数を把握できるよ
保護ビュー(だけ)ではない (スコア:0)
ようだ。
保護ビューはインターネットから取得したOfficeファイルに対して制限を加える機能だが、
今回のホバー実行を食い止めているのはこの機能でなく、「PowerPointのセキュリティに関する通知」というもので
試した限り、永続的に設定を有効化することはできない模様。
つまり、「すべて有効にする」ボタンを押しても、ppsxファイルを閉じ再度開くとまた確認ダイアログが表示されてしまう。
ご丁寧に太字で セキュリティに影響を及ぼす可能性のある問題点が検知されました と警告するダイアログを無視して
実行を許可しマルウェアの侵入を受け入れるユーザーを救えというのは無理な話と思われる。
Re: (スコア:0)
ここまでいくともうわざとセキュリティホール作っているんだなとしか思わないな。
スクリプト、マクロの実行機能は別売りにしたら? (スコア:0)
お金払ってまでわけわからんパワポについてきたスクリプト実行したい人、そうはいないでしょ?
Re: (スコア:0)
マウスオーバーでのプログラム実行はPowerPointのファイル形式に定義されてるハイパーリンクに設定可能な挙動で、
PowerPoint側のスクリプト、マクロとは無関係なんよ。
Re: (スコア:0)
わかんないかな、警告が出るようなものは、「有効にしますか」の代わりに「お金払って」にしちゃえってこと。
Re: (スコア:0)
わかんないですよ?
マウスの通過でプログラム実行って、なんに使うの? (スコア:0)
パワポってそんなんでプログラム実行指示できんの?と思って、手元のPowerPoint2016開いたら、確かにあった...知らんかったなぁ、これ。
でも、マウスの通過でサウンド再生とかはわかるけど、プログラムの実行ってなんに使うんだろう?
プレゼンやんないからこれの便利さがさっぱりわからん。
Re: (スコア:0)
破壊的なウィルスじゃなくても例えば広告を表示するとか個人情報を収集するとかさ