このほど、セキュリティ研究者らによりMicrosoft Officeにゼロデイの脆弱性が存在することが指摘された。この脆弱性は、細工されたMicrosoft Officeドキュメントを開くことで最終的にPowerShellコードが実行できるもので、研究者が「Follina」という名で呼んでいる。Microsoftは開発版および最新版でこの問題に対処したと見られているが、世界で最も広く使われている従来のバージョンには、依然としてこの脆弱性が存在しているとみられている。

セキュリティ研究者が「Follina — a Microsoft Office code execution vulnerability | by Kevin Beaumont | May, 2022 | DoublePulsar」において状況を説明している。

  • Follina — a Microsoft Office code execution vulnerability|by Kevin Beaumont|May、2022|DoublePulsar

    Follina — a Microsoft Office code execution vulnerability | by Kevin Beaumont | May, 2022 | DoublePulsar

分析対象となったドキュメントはWordのリモートテンプレート機能を使ってリモートのWebサーバからHTMLファイルを取得し、そのファイルがms-msdt MSProtocol URIスキームを使っていくつかのコードを読み込み、最終的にいくつかのPowerShellを実行する仕組みになっていたとされている。これは実際には起こってはならない挙動だと説明されており、ゼロデイの脆弱性と指摘されている。

この脆弱性を悪用すると、マクロが無効になっていてもmsdtサポートツール経由でコードが実行されるため注意が必要。Microsoftは開発版および最新版のOfficeでこの脆弱性に対処したような動きを見せているが、ドキュメントにおいて明示的に説明は行われておらず、CVEとしても特定されていない。

今後、従来のバージョンのOfficeプロダクトに対しても何らかの対応が行われると見られるが、現時点では不明瞭な状況にある。今後のセキュリティ情報に注目するとともに、アップデートや対策方法が提供された場合には迅速に対応することが望まれる。