SOMPO CYBER SECURITY
テンプレート・インジェクション(Template Injection)はOfficeドキュメント(docx、xlsx、pptx)の外部テンプレート参照機能を利用し、悪意あるコードの隠蔽等を行う検知回避テクニックです。
docxやxlsx.、pptx等のOffice Open XML型式ファイル(OOXML)は、内部にXML言語ベースのファイルを埋め込み、共有リソースであるテンプレートを参照する機能を持っています。ユーザーによって開かれると同時に、ドキュメントはローカルあるいはインターネット上からテンプレートファイル(dotm等)を参照します。
攻撃者はOffice Open XML型式ファイルに含まれるテンプレートの参照URLを悪性URLに改ざんし、このURLから正当なテンプレートではなく悪意あるコードを取得し実行させるように細工します。あるいは、悪性URLにアクセスさせることで強制認証を行わせクレデンシャルを窃取します(強制認証)。
Officeドキュメント内部に悪性マクロを埋め込んだ場合と異なり、テンプレート・インジェクションではユーザーがファイルを開いてから悪性URLを通してペイロードの取得が行われるため、セキュリティ製品の検知をすり抜ける可能性があります。
テンプレート・インジェクションに用いられる悪性ドキュメントは通常フィッシングメールやスピアフィッシングメールでターゲットに配送されます。
脅威インテリジェンスサービスCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。 Cognyte CTI Research Group@Cognyte | 2024年5月 2024年5月1日、ロシア語のダークウェブ・フォーラムにおいて"murava"と称する脅威アクタ...
脅威インテリジェンスサービスCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。 Cognyte CTI Research Group@Cognyte | 2024年4月 2024.4.17追記本記事公開後、当該脆弱性の悪用条件等の更新が行われています。最新の情報はP...
脅威インテリジェンスサービスCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。 Cognyte CTI Research Group@Cognyte | 2024年3月 先般、自称ハクティビストグループであるAnonymous Sudanが新DDoS攻撃サービス「I...
セキュリティ対策ツール導入のための稟議書の準備には苦労が多いのではないでしょうか?どう書いていいのかわからない、いつものテンプレートに必要なポイントが全て含まれているのか不安、といった方のために、受け取る側が必要とする情報を的確に記載した稟議書のテンプレートと一緒に、稟議書作成の極意をまとめました。 *本ホワイトペーパーのコンテンツは、エムオーテックス株式会社より提供いただいております。 こんな方...