米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は7月17日(米国時間)、「CISA Adds One Known Exploited Vulnerability to Catalog|CISA」において、「Known Exploited Vulnerabilities Catalog」に、Microsoft OfficeとWindowsに影響を与える脆弱性を追加したと伝えた。
影響を受ける主な製品やサービスは次のとおり。
- CVE-2023-36884 Microsoft - OfficeおよびWindows
脆弱性の概要は次のとおり。
CVE番号 | 概要 |
---|---|
CVE-2023-36884 | Microsoft OfficeおよびWindowsにおけるリモートコード実行の脆弱性。細工したMicrosoft Office文書を悪用することで攻撃可能 |
この脆弱性はすでに悪用が指摘されていたが、CISAが脆弱性カタログに追加したことでサイバー攻撃に悪用されていることがあらためて強調されたことになる。
CISAがカタログに追加した「CVE-2023-36884」は、Microsoftがその詳細を「Storm-0978 attacks reveal financial and espionage motives | Microsoft Security Blog」において公開し、すでに2023年7月の累積更新プログラムで修正を行っている。
Microsoftは、「CVE-2023-36884」について、Storm-0978 attacks reveal financial and espionage motivesにおいて、Microsoft Defender やMicrosoft Defender for Office 365を活用して、同脆弱性による影響を軽減することを推奨している。
当初、「CVE-2023-36884」について、Microsoft社がすでに2023年7月の累積更新プログラムで修正を行っているとお伝えしましたが、現時点で、修正は行われておらず、同社は軽減策の実施を推奨しています。ご迷惑をおかけした読者の皆様ならびに関係各位には深くお詫び申し上げます。