Office 2021向けの修正は自動ですが、Office 2016およびOffice 2019では手動で適用する必要があります。
Microsoftは、ユーザーが文書を開くだけでトリガーされ得る、Officeのセキュリティバイパスのゼロデイ脆弱性について管理者に警告している。この欠陥は現在、実際に悪用されている。
「この脆弱性は深刻です」と、SANS Instituteのリサーチ部門責任者であるJohannes Ullrich氏は述べた。「根本原因は、Microsoft Officeが依然として古いOLE文書形式をサポートしており、さまざまなOLEコンポーネントへのアクセスを提供していることです。影響は、攻撃者がOfficeマクロでできることに似ています。しかし、Officeマクロは通常、インターネットからダウンロードした文書ではブロックされます。MicrosoftはOLEコンポーネントにも同様の保護を実装しましたが、今回の攻撃はそれを回避する方法を見つけました。」
Microsoftやメールゲートウェイベンダーの取り組みにもかかわらず、悪意のある添付ファイルを含むメールは依然として重要な攻撃ベクトルだ、と同氏は付け加えた。
「組織がこの更新を迅速に展開することが重要です。適用されるまでの間は、メールゲートウェイのフィルターやエンドポイント保護のシグネチャが脅威の緩和に役立つ可能性があります。」
幸いにも、CVSSスコア7.8のこの脆弱性CVE-2026-21509は、Office 2021以降では自動的に修正される。ただし管理者は、パッチを有効にするにはこれらのアプリケーションの再起動が必要である点に注意すべきだ。Office 2016およびOffice 2019については、別のパッチがある。
Action1の脆弱性リサーチ責任者であるJack Bicer氏は、セキュリティチームやCISOにとって「緊急性は現実のものです。待たずに、直ちにこの更新を最優先し、保護が遅滞なく有効になるよう、すべてのOfficeアプリケーションを再起動してください」と述べた。
この欠陥は、悪意のあるOffice文書を送付し、ユーザーにそれを開かせることで悪用されるもので、「現実の攻撃においてソーシャルエンジニアリングが依然として有効であることを強調する古典的な手法だ」と同氏は述べた。
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、この問題を既知の悪用されている脆弱性のカタログに追加した。カタログに掲載された脆弱性は、連邦政府の民間行政機関が指定日までに是正しなければならない。
コメントを求められたMicrosoftの広報担当者は、同社として影響を受ける顧客に対し、同社の CVEページにあるガイダンスに従うことを推奨していると述べた。さらに、Microsoft Defenderには悪用をブロックするための検知が用意されていること、またOfficeの既定の 保護ビュー 設定が、インターネット由来の悪意あるファイルをブロックすることで追加の保護層を提供することも指摘した。
「セキュリティのベストプラクティスとして、セキュリティ警告に示されるとおり、出所不明のソースからファイルをダウンロードしたり編集を有効化したりする際には注意することを、私たちはユーザーに推奨します」と同担当者は付け加えた。
この記事は元々Computerworldに掲載された。
