Microsoft OfficeのSandboxをVBAマクロを利用してエスケープし、Macにバックドアを作成するマルウェアが発見される。

スポンサーリンク

 Microsoft OfficeのSandboxをVBAマクロを利用してエスケープし、Macにバックドアを開けるWordファイル型マルウェアが発見されたそうです。詳細は以下から。

Microsoft Word for Macのアイコン。

 米セキュリティ企業Malwarebytes LabsのThomas ReedさんやObjective-SeeのPatrickさんらは現地時間2018年12月05日、MicrosoftのWordファイルに偽装され、実行するとVisual Basicマクロを用いてOfficeのSandboxをエスケープし、Macにバックドアを作成するマルウェア「BadWord」が発見されたとして警告しています。

Last week, we wrote about a new piece of malware called DarthMiner. It turns out there was more to be seen, as not just one but two additional pieces of malware had been spotted. The first was identified by Microsoft’s John Lambert and analyzed by Objective-See’s Patrick Wardle, and the second was found by Malwarebytes’ Adam Thomas.

Flurry of new Mac malware drops in December – Malwarebytes Labs

 このマルウェアの感染経路は主にメールに添付されたWordファイルで、このWordファイルはイギリスBitcoin Magazineのインタビューを装っているそうですが、中にはペネトレーションテストに利用されるフレームワークMeterpreterのバックドア用Pythonスクリプト「meterpreter.py」が同梱され、このスクリプトがMacにバックドアを作成するそうですが、このマルウェアがバックドアを作成するためにはMicrosoftのSandboxをエスケープしなければなりません。

Word型のマルウェア

BitcoinMagazine-Quidax_InterviewQuestions_2018.docm

 そのため、このマルウェアの開発者は今年08月に発見されたOfficeの一時ファイルが正規表現だけにより判断され、ユーザーの許可無く実行できる脆弱性をLaunch Agent”~$com.xpnsec.plist”に適用して、Sandboxをエスケープしているそうです。

 このマルウェア(Wordファイル)は既にMalwarebytes for Macを含め多くのセキュリティアプリが検出に対応し、この情報は既にMicrosoft側にも提供されているそうですが、

BitcoinMagazine-Quidax_InterviewQuestions_2018.docm:
  4454e768b295ed2869f657b2e9f47421b6ca0548e67092735665cd339a41dddb
DiscordApp.app.zip:
  a899a7d33d9ba80b6f9500585fa108178753894dfd249c2ba64c9d6a601c516b

Office for Mac開発チームのErik Schwiebertさんによると、この問題はまだ修正されていないそうなので、ユーザーの方は不用意に送られてきたWordファイルを開いたり、VBAマクロの実行許可を与えないようにしてください。