Microsoft OLE は、不適切な方法で URL Moniker を使用して遠隔のデータを処理します。遠隔データは提示された MIME type に関連付けられたアプリケーションを使って処理されますが、MIME type のなかには任意コード実行につながる危険なものが含まれています。たとえば、MIME type application/hta には mshta.exe が関連付けられており、細工された HTA コンテンツを処理することで任意のコードが実行される可能性があります。 Microsoft URL Moniker https://msdn.microsoft.com/en-us/library/ms775149.aspx すでに次のような手法での攻撃活動が報告されています。 　* Microsoft Word の DOC 形式に偽装された RTF (リッチテキスト) 形式の文書ファイルによって攻撃が開始される 　* この文書ファイルを開くと、リモートサーバに接続して HTA ファイルを取得し、HTA ファイルに含まれる VBScript がクライアント上で実行される 本脆弱性を使用した攻撃は、Microsoft Word 以外の Windows コンポーネントを標的として行われる可能性があります。なお、Microsoft Office の保護ビューが、ユーザ操作なしで攻撃が実行されることを防ぐのに役立つことも報告されています。 Microsoft Office の保護ビュー https://support.office.com/ja-jp/article/%E4%BF%9D%E8%AD%B7%E3%83%93%E3%83%A5%E3%83%BC%E3%81%A8%E3%81%AF-d6f09ac7-e6b9-4495-8e43-2bbcdbcb6653

[アップデートする] 2017年4月11日、Microsoft から、本脆弱性に対するセキュリティアップデートが公開されました。 Microsoft が提供する情報をもとに、アップデートを適用してください。 なお、セキュリティアップデートの適用後であっても、保護ビューが有効でなければ、リンクされた OLE コンテンツが MIME type にしたがって取得され保存されるところまでは、ユーザへの確認なしで行われます。セキュリティアップデートは、このようにして保存された HTA コンテンツが実行されることを防ぐものです。 [application/hta 形式のファイルの処理を無効化する] 現在確認されている攻撃手法は、application/hta 形式のデータに対する処理を無効化することで防ぐことができると考えられます。次のようなレジストリ値を設定することで、application/hta 形式のデータをプレーンテキストとして処理するよう変更することが可能です。 　Windows Registry Editor Version 5.00 　[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/hta] 　"CLSID"="{5e941d80-bf96-11cd-b579-08002b30bfeb}" [Microsoft Word で RTF ファイルをブロックする] 報告されている攻撃活動は、RTF ドキュメントファイルを使用したものです。 Microsoft Office Trust Center のファイル制限機能によって RTF ファイルを開かないようブロックすることが可能です。 また、たとえば Word 2016 では次のようにレジストリを設定することで RTF ファイルのブロックが可能です。 　Windows Registry Editor Version 5.00 　[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Security\FileBlock] 　"OpenInProtectedView"=dword:00000000 　"RtfFiles"=dword:00000002 レジストリの設定内容は、Office 製品のバージョンによって異なります。 Microsoft Office Trust Center のファイル制限機能 https://support.office.com/ja-jp/article/%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB%E5%88%B6%E9%99%90%E6%A9%9F%E8%83%BD%E3%81%A8%E3%81%AF-10d0e0ab-fecf-4605-befd-1e6563e7686d