サイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)は、重大なMicrosoft PowerPointの脆弱性に関する警告を強化し、実環境での積極的な悪用を確認したうえで、CVE-2009-0556を既知の悪用されている脆弱性カタログに追加しました。
この欠陥は、特別に細工されたプレゼンテーションファイルを通じて攻撃者が任意のコードを実行できるもので、未修正のOfficeインストールを稼働させている組織にとって差し迫ったリスクとなります。
CVE-2009-0556は、Microsoft PowerPointが内部ファイル構造、特にOutline Text RefAtomフレームワークを処理する方法に起因するコードインジェクションの脆弱性です。
攻撃者は無効なインデックス値を含む悪意あるデータをPowerPointファイルに埋め込み、ユーザーが改ざんされたプレゼンテーションを開くとメモリ破損を引き起こすことができます。
この脆弱性の影響は深刻です。PowerPointは通常ユーザーレベルの権限で実行されるため、悪用に成功すると攻撃者は任意のコードを実行し、マルウェアを展開し、組織ネットワーク内での横展開の足掛かりを確立できます。
この欠陥はCWE-94(コード生成の不適切な制御)に分類されており、実行可能コードを模倣する外部入力を安全でない形で扱うという根本的な問題を強調しています。
この警告が特に緊急性を帯びているのは、CISAがCVE-2009-0556が現在、現実の攻撃で悪用されていることを確認しているためです。
特定のランサムウェアのファミリーや脅威アクターのキャンペーンは公表されていないものの、既知の悪用されている脆弱性リストへの追加は、防御側がこれを理論上のリスクとして扱えないことを示しています。
連邦政府の民間機関に対して、CISAは拘束力のある運用指令に基づく是正を義務付け、遵守期限を2026年1月28日と定めました。
この短いタイムラインは、機関や組織がこの露出に対処するうえで直面する深刻さを浮き彫りにしています。
管理者は、影響を受けるすべてのMicrosoft Officeインストールのパッチ適用を直ちに最優先とし、環境全体にわたるPowerPointの展開に特に注意を払う必要があります。
ベンダーのパッチが未提供である、または展開が困難な組織に対して、CISAはリスクを受け入れるのではなく、代替的な補完コントロールを実装するか、脆弱なインストールの使用を中止するよう助言しています。この強硬な姿勢は、積極的な悪用がもたらす現実の脅威を反映しています。
クラウドホスト型またはSoftware-as-a-Serviceの生産性プラットフォームを利用している組織は、クラウドサービスのセキュリティ要件を定めるCISAの拘束力のある運用指令2201への準拠を確認すべきです。
多くのクラウドプロバイダーはすでにインフラを修正済みですが、検証は依然として不可欠です。
2009年に初めて文書化された脆弱性であるCVE-2009-0556への注目が再燃していることは、レガシーな欠陥が何年も後に活発な脅威となり得ることを示しています。
組織はこの警告を契機として、Officeの展開パイプラインを監査し、適時のパッチ管理プロセスが効果的に機能していることを確認すべきです。
この経路による侵害を防ぐには、システム管理者とセキュリティチームによる迅速な対応が不可欠です。
翻訳元: https://cyberpress.org/powerpoint-code-injection-flaw/