I. 概要
2021年9月7日(米国時間)に、マイクロソフトからMicrosoft MSHTMLの脆弱性(CVE-2021-40444)に関する情報が公開されました。
脆弱性が悪用されると、遠隔の第三者が、細工したMicrosoft Officeのファイルをユーザーに開かせることで、任意のコードを実行するなどの可能性があります。
参考:https://www.jpcert.or.jp/at/2021/at210038.html

マイクロソフト株式会社
Microsoft MSHTML Remote Code Execution Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444

マイクロソフトは、本脆弱性を悪用するMicrosoft Officeのファイルを用いた攻撃を確認していると公表しています。
今後、本脆弱性を悪用するMicrosoftOfficeのファイルを用いた攻撃が増加する可能性もあるため、マイクロソフトの情報を確認し、回避策の適用を検討するとともに、脆弱性への対策が公開され次第、速やかに適用することを推奨します。

** 更新: 2021年9月10日追記 ************************************************************************************
2021年9月9日(米国時間)、マイクロソフトから本脆弱性に対する回避策について追加情報が公開されています。
本脆弱性については、引き続きマイクロソフトなどが公開する情報を注視し、必要な回避策を適用することを推奨します。
また、信頼できないMicrosoft Officeなどのファイルは、開封をしないようご注意ください。
******************************************************************************************************************


II. 対象
対象となる製品とバージョンは次のとおりです。
最新の情報や詳細については、マイクロソフトの情報を参照してください。

– Windows Server 2022
– Windows Server 2019
– Windows Server 2016
– Windows Server 2012 R2
– Windows Server 2012
– Windows Server 2008 R2
– Windows Server 2008
– Windows Server, version 20H2
– Windows Server, version 2004
– Windows 10
– Windows RT 8.1
– Windows 8.1
– Windows 7


III. 対策
2021年9月9日時点で、マイクロソフトから本脆弱性を修正する更新プログラムは公開されていません。
マイクロソフトからの情報を注視し、対策に関する情報が公開され次第、速やかな対策実施を推奨します。

** 更新: 2021年9月15日追記 ************************************************************************************
2021年9月14日(米国時間)、マイクロソフトから本脆弱性に対する修正プログラムが公開されました。
マイクロソフトの情報を確認の上、速やかに対策を実施することを推奨します。

CVE-2021-40444
Microsoft MSHTML のリモートでコードが実行される脆弱性
https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2021-40444
******************************************************************************************************************


IV. 回避策
マイクロソフトから、脆弱性に対する回避策として、Internet Explorerにおける全てのActiveXコントロールのインストールを無効にする、レジストリの設定を変更する方法が案内されています。
マイクロソフトの情報を参照し、回避策の適用を検討してください。

** 更新: 2021年9月10日追記 ************************************************************************************
2021年9月9日(米国時間)、マイクロソフトから本脆弱性に対する回避策について追加情報が公開されています。
グループポリシーで回避策を適用する方法に加え、Windows Explorerでファイルプレビューを無効にする方法が案内されています。
******************************************************************************************************************


V. 緩和策
マイクロソフトから、Microsoft Officeの「保護ビュー」や「ApplicationGuard for Office」が紹介されています。

マイクロソフト株式会社
保護ビューとは
https://support.microsoft.com/ja-jp/topic/%E4%BF%9D%E8%AD%B7%E3%83%93%E3%83%A5%E3%83%BC%E3%81%A8%E3%81%AF-d6f09ac7-e6b9-4495-8e43-2bbcdbcb6653

マイクロソフト株式会社
Application Guard for Office
https://support.microsoft.com/ja-jp/topic/application-guard-for-office-9e0fb9c2-ffad-43bf-8ba3-78f785fdba46


VI. 参考情報
マイクロソフト株式会社
Microsoft MSHTML Remote Code Execution Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444