Bleeping Computerは7月11日(米国時間)、「Microsoft: Unpatched Office zero-day exploited in NATO summit attacks」において、複数のWindowsおよびMicrosoft Office製品にパッチが適用されていないゼロデイ脆弱性があると伝えた。この脆弱性が悪用された場合、攻撃者によって機密情報にアクセスされたり、システム保護を無効化されたり、侵害されたシステムへアクセスできなくなったりする可能性がある。

  • Microsoft: Unpatched Office zero-day exploited in NATO summit attacks

    Microsoft: Unpatched Office zero-day exploited in NATO summit attacks

CVE-2023-36884」として追跡されている未修正の脆弱性が報告された。リモートコード実行(RCE: Remote Code Execution)の脆弱性で、共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)のスコア値が8.3と分類され、深刻度が重大(Important)と位置づけられている。

Microsoftはこの脆弱性について調査を行っており、攻撃者が特別に作成されたMicrosoft Officeドキュメントとこの欠陥を悪用して標的型攻撃を行っていると報告している。ただしこの攻撃は、フィッシング攻撃などを使って被害者に悪意のあるファイルを開かせる必要があるとのことだ。

Microsoftは調査が完了してから月例リリースプロセスまたは臨時のセキュリティアップデートを提供すると述べている。また、CVE-2023-36884にパッチが提供されるまでの緩和策も提供している。WindowsおよびOfficeユーザーは電子メールの添付ファイルやリンクに注意を払うとともに、Microsoftが推奨している緩和策を実施することが望まれている。