2 返信 最新の回答 日時: Nov 4, 2014 6:06 AM ユーザー:tkudo

    【Tips】 CVE-2014-6352 (Windows OLE Object)の脆弱性について

    tkudo

      皆さん、こんにちは
      マカフィーテクニカルサポートセンターです。

       

      昨日、CVE-2014-4114 (Sandworm Attacks) の脆弱性に関する情報を記載しましたが、同じ OLE  オブジェクトの脆弱性を狙った攻撃が

      観測されましたので、こちらについても併せてご紹介いたします。

       

      この脆弱性は CVE-2014-6352 として公開されています。
      Microsoft 社からの発表 (Security Advisory 3010060) によると、 悪意のある OLE オブジェクトが埋め込まれた MS-PowerPoint  ファイル

      を使った攻撃が観測されていて、この脆弱性を衝かれた攻撃を受けると、リモートによって任意のコードが実行できるようになります。

      MS 社では、この脆弱性に対するセキュリティ更新プログラムを公開するかどうかについては、この問題に関する調査が完了次第、月例

      もしくは定例外でのセキュリティ更新プログラムリリースを検討していることにも言及していますが、セキュリティ更新プログラムについては

      現時点では公開されていません。

       

      なお同セキュリティアドバイザりでは、この問題を緩和するための方法が公開されていましたので、こちらでも紹介をさせていただきます。

      詳細につきましてはセキュリティアドバイザりにてご確認をお願いします。

       

      マイクロソフト セキュリティ アドバイザリ 3010060
      https://technet.microsoft.com/ja-jp/library/security/3010060

       

           緩和策
           - この脆弱性の悪用を阻止するマイクロソフト Fix it ソリューション、「OLE パッケージ Shim 回避策」を適用する
           - 信頼できないソースからのマイクロソフト PowerPoint ファイル、あるいはその他のファイルを開かない
           - ユーザー アカウント制御 (UAC) を有効にする
           - Enhanced Mitigation Experience Toolkit 5.0 を適用し、攻撃対象領域の削減を設定する


      弊社では対策がとられるまでの間、外部からのダウンロード、もしくはメールで送付されてきた Microsoft Office ファイルの開封については

      慎重に実施いただくことを強く推奨します。

       

      関連情報:
      IPA(情報処理推進機構) Microsoft Windows の脆弱性対策について(CVE-2014-6352)
      http://www.ipa.go.jp/security/ciadr/vul/20141022-ms.html

       

      National Vulnerability Database CVE-2014-6352
      http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6352

       

      以上

       

      マカフィー工藤

      Tomohiro Kudo
      ePO/MA/VSE Support Engineering Operations, Japan
      McAfee, Inc.

        • 1. Re: 【Tips】 CVE-2014-6352 (Windows OLE Object)の脆弱性について
          tkudo

          皆さん、こんにちは
          マカフィーテクニカルサポートセンターです。

          こちらの情報をコミュニティで紹介させていただきましたところ、いくつかのお客様から DAT での対応時期に関するご質問をいただき

          ましたので、こちらに関しても本スレッドにて触れておきます。

           

          まず 弊社での対応状況ですが、CVE-2014-6352 は CVE-2014-4114 のアップデートとなります。

          最新の DAT と Engiine をご使用いただくことにより、CVE-2014-6352 の脆弱性を衝くマルウェアにつきましても、先の CVE-2014-4114

          (Sandworm Attacks) でも記載した Exploit-FVV! / Exploit-CVE2014-4114 として検出されます。

           

          CVE-2014-6352 の脆弱性を使用するマルウェアが万が一、上記検出名でも検出されないようでしたら、以下の "ServicePortal からの

          ウイルス検体提出方法"をご参照いただき、サンプルを弊社へご提供ください。


          【Tips】 CVE-2014-4114 (Sandworm Attacks) の脆弱性について
          https://community.mcafee.com/thread/74452

           

          【TIPS】ServicePortalからのウイルス検体提出方法
          https://community.mcafee.com/message/336739#336739


          以上、これからもマカフィー製品のご愛顧を宜しくお願い申し上げます。


          マカフィー工藤

           

          Tomohiro Kudo
          ePO/MA/VSE Support Engineering Operations, Japan
          McAfee, Inc.

          • 2. Re: 【Tips】 CVE-2014-6352 (Windows OLE Object)の脆弱性について
            tkudo

            皆さん、こんにちは
            マカフィーテクニカルサポートセンターです。

             

            こちらの件に関しまして、弊社へのお問い合わせの中で根本的な対応策についてのお問い合わせを多数いただき、ありがとうございます。
            情報処理推進機構からこの脆弱性に関するアップデートとして、MS14-060 修正プログラムの適用 + CVE-2014-6352 の回避策となる

            Fix it 51026 の適用にて、この攻撃を防ぐことができるとの情報が公開されましたので、このコミュニティでも紹介させていただきます。

             

            更新:Microsoft Windows の脆弱性対策について(CVE-2014-6352)
            https://www.ipa.go.jp/security/ciadr/vul/20141022-ms.html

             

            また根本的な対応策と共に弊社での DAT 対応、およびその対応 DAT バージョンに関しましても多数のお問い合わせをいただきましたので、

            こちらについてもいくつか記載いたします。

             

            まず対応状況ですが、こちらは先にも記載いたしましたように CVE-2014-6352 の脆弱性を衝く Malware につきましても、Exploit-FVV! /

            Exploit-CVE2014-4114 として検出することが可能です。 なお対応 DAT バージョンにつきましては、この脆弱性を衝く Malware は複数確認

            されていて、対応する検出シグネチャにつきましてもアップデートがされていますので、常に最新の DAT を適用いただくことをお勧めします。


            以上


            マカフィー工藤

            Tomohiro Kudo
            ePO/MA/VSE Support Engineering Operations, Japan
            McAfee, Inc.