4月に修正されたMicrosoft Office/ワードパッドの脆弱性(CVE-2017-0199)は、その後もスピア型攻撃で使われ続けており、新たな攻撃手法も発見されているようだ。

CVE-2017-0199はOLEインターフェイスに存在する脆弱性。攻撃者はOfficeドキュメントにリモートの攻撃用コードを記述したファイルを埋め込み、ターゲットにドキュメントを開かせることで、リモートコンテンツを表示するかどうかの選択にかかわらずリモートからのコード実行が可能となる。

攻撃用にはリモートのHTAファイルを埋め込んだRTFファイルが多く使われているが、トレンドマイクロが入手したサンプル(TROJ_CVE20170199.JVU)では、リモートのWindowsスクリプトコンポーネントファイルを埋め込んだPowerPointスライドショーファイル(.ppsx)が使われている。埋め込みオブジェクトのファイル名は「logo.doc」となっているが、実際にはWindowsスクリプトコンポーネントファイルであり、スクリプトはPowerShellコードを実行してリモートアクセスツール(RAT)を実行する仕組みとなっている(TrendLabs Security Intelligence Blogの記事)。

一方、CiscoのTalosグループが入手したサンプルでは、RTFファイル(Purchase_Order.doc)にリモートのRTFファイル(Order.doc)が埋め込まれた形になっている。Order.docは2012年に修正済みの脆弱性(CVE-2012-0158/MS12-027)を使用してリモートからシェルコードを実行する。このシェルコードは開いているRTFファイルからOrder.docを検索し、マルウェアをダウンロードするシェルコードを読み取って実行する仕組みだ(Cisco's Talos Intelligence Group Blogの記事)。

ただし、指定された条件にPurchase_Order.docが一致してしまうため、Wordがクラッシュして攻撃は失敗する。実際にCVE-2012-0158が未修正の環境であれば直接実行すれば済む話であり、攻撃者の目的は不明だ。Talosでは埋め込みのHTAファイルをダウンロードする挙動がセキュリティソフトに検出されるのを避けるのが目的である可能性や、新たな攻撃手法を実験している可能性などを指摘している。