Security Affairsは3月7日(現地時間)、「Expert released PoC code for critical Microsoft Word RCE flawSecurity Affairs」において、Microsoft Wordの重大なリモートコード実行(RCE: Remote Code Execution)の脆弱性に関する概念実証(PoC: Proof of Concept)が公開されたと伝えた。

Expert released PoC code for critical Microsoft Word RCE flawSecurity Affairs

概念実証がリリースされた脆弱性はCVE-2023-21716として特定されており、リモートの攻撃者により被害者のシステム上で任意のコードが実行される可能性がある重大な欠陥とされている。共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)スコア値が9.8と分析され、深刻度が緊急(Critical)に分類されているため注意が必要。

Microsoftはこの脆弱性について、RTFペイロードを含んだドキュメントファイルを添付したメールが攻撃者から送信され、被害者に悪意のある添付ファイルを開かせ、開くために使用されるアプリケーション内でコマンドが実行されてしまうというセキュリティ上の問題と説明している。特別に細工されたRTFドキュメントをプレビューペインで読み込むことでも悪用される危険性があるとされている。

この脆弱性に対する回避策として、メッセージをプレーンテキスト形式で読むことが勧められている。またファイルブロックポリシを設定し、未知のソースや信頼できないソースからRTFドキュメントをOfficeで開かないようにすることも推奨されている。なお、Microsoftはすでにこの脆弱性に対するアップデートを提供しており、該当する製品を使用している場合は、迅速にWindows Updateなどを使って累積更新プログラムを適用することが望まれる。