セキュリティブログ

【脆弱性情報/JVN】「Microsoft Office 数式エディタ」に任意コード実行の脆弱性

2017.11.17

独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)さんから11月16日、「Microsoft Office 数式エディタにスタックベースのバッファオーバーフローの脆弱性」があると注意喚起がなされています。

この脆弱性により、細工されたOffice文書を閲覧した場合に、ユーザの権限で任意のコードが実行される可能性があるとのことです。

※以下、JVNさんウェブサイトより対策等抜粋です。

概要

Microsoft Office 数式エディタには、スタックベースのバッファオーバーフローの脆弱性が存在します。

影響を受けるシステム

  • Microsoft Office 2007 Service Pack 3
  • Microsoft Office 2010 Service Pack 2 (32-bit edition)
  • Microsoft Office 2010 Service Pack 2 (64-bit edition)
  • Microsoft Office 2013 Service Pack 1 (32-bit edition)
  • Microsoft Office 2013 Service Pack 1 (64-bit edition)
  • Microsoft Office 2016 (32-bit edition)
  • Microsoft Office 2016 (64-bit edition)

詳細情報

Microsoft 数式エディタは Microsoft Office に付属するコンポーネントです。Microsoft Office 数式エディタにはスタックベースのバッファオーバーフローの脆弱性 (CWE-121) が存在します。

最近のソフトウェアでは、メモリ破損の脆弱性に対して DEP や ASLR などの保護、さらには CFG といった保護を組み込むことによって影響を緩和する対策を行っています。しかしこのコンポーネントには、最新の Microsoft Office 2016 のバージョンであっても、上記のような保護機構が組み込まれておらず、コード実行などの攻撃が容易になっています。

Microsoft 数式エディタは eqnedt32.exe で提供される out-of-process COM サーバーであるため、MS Office アプリケーションに対する保護の範囲外にあります。例えば RTF 文書を使った攻撃が行われる場合、文書は Microsoft Word で開かれますが、eqnedt32.exe は Windows DCOM Server Process Launcher service によって呼び出されるため、Microsoft Office のプログラムに対する EMET や Windows Defender Exploit Guard などの保護機構は働きません。同様の理由で Windows Defender Exploit Guard Attack Surface Reduction (ASR) による保護も行われません。

Windows 7 のユーザで、かつ システムレベルで EMET の ASLR を「常にオン」に設定している場合には、この脆弱性に対する攻撃から保護されます。一方 Windows 10 の場合、Windows 7 のようなシステムレベルでの ASLR 設定はできないため、この脆弱性に対する対策を行う必要があります。

想定される影響

細工された Office 文書を閲覧した場合に、ユーザの権限で任意のコードが実行される可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。

数式エディタを無効化する
以下のようにレジストリを設定することで、Microsoft Office において数式エディタを無効化することが可能です。

    Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}]
“Compatibility Flags”=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}]
“Compatibility Flags”=dword:00000400

EMET もしくは Windows Defender Exploit Guard を eqnedt32.exe に適用する
eqnedt32.exe に Windows が提供する保護機構を適用してください。
とくに、ASLR を有効にすることで発見者の提供する情報で説明されている攻撃を防ぐことが可能です。

参考情報

  1. CERT/CC Vulnerability Note VU#421280
    Microsoft Office Equation Editor stack buffer overflow
  2. Blog | Embedi
    Skeleton in the closet. MS Office vulnerability you didn’t know about

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v3 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L

基本値: 5.3

 

CVSS v2 AV:N/AC:M/Au:N/C:P/I:P/A:P

基本値: 6.8

 

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2017-11882
JVN iPedia

 

※ここまで

本件情報、ご確認とご注意をよろしくお願いいたします。