Technique - T1203-

T1203 - Exploitation for Client Execution

概要

Adversaries may exploit software vulnerabilities in client applications to execute code. Vulnerabilities can exist in software due to unsecure coding practices that can lead to unanticipated behavior. Adversaries can take advantage of certain vulnerabilities through targeted exploitation for the purpose of arbitrary code execution. Oftentimes the most valuable exploits to an offensive toolkit are those that can be used to obtain code execution on a remote system because they can be used to gain access to that system. Users will expect to see files related to the applications they commonly used to do work, so they are a useful target for exploit research and development because of their high utility.

Several types exist:

Browser-based Exploitation

Web browsers are a common target through Drive-by Compromise and Spearphishing Link. Endpoint systems may be compromised through normal web browsing or from certain users being targeted by links in spearphishing emails to adversary controlled sites used to exploit the web browser. These often do not require an action by the user for the exploit to be executed.

Office Applications

Common office and productivity applications such as Microsoft Office are also targeted through Phishing. Malicious files will be transmitted directly as attachments or through links to download them. These require the user to open the document or file for the exploit to run.

Common Third-party Applications

Other applications that are commonly seen or are part of the software deployed in a target network may also be used for exploitation. Applications such as Adobe Reader and Flash, which are common in enterprise environments, have been routinely targeted by adversaries attempting to gain access to systems. Depending on the software and nature of the vulnerability, some may be exploited in the browser or require the user to open a file. For instance, some Flash exploits have been delivered as objects within Microsoft Office documents.

管理者によるコメント

T1203「Exploitation for Client Execution」（クライアント実行のための脆弱性悪用） は、ユーザーが使用するアプリケーション（ブラウザ、ドキュメントビューアー、メディアプレーヤーなど）の脆弱性を突き、悪意のあるコードを実行させる手法です。

1. 概要

この手法で攻撃者は、「ユーザーの不注意やソフトのバグを突き、システムへの足がかりを得ること」を実現します。

何を実現できるのか

初期侵入: 攻撃者が細工したファイルやWebサイトをユーザーに開かせることで、ターゲットの端末内で自動的にプログラムを実行させます。
ユーザー権限の奪取: アプリケーションが動作している権限（通常は一般ユーザー権限）で、シェル（コマンド操作）を確立します。
検知の回避: 正規のプロセス（例：ChromeやAcrobat Reader）のメモリ空間内でコードが動くため、不審なプロセスの起動として検知されにくい場合があります。

2. 攻撃の仕組みと流れ

この攻撃は、ソフトウェアの設計上のミス（バグ）を「武器（エクスプロイト）」として利用します。

ターゲットの特定と準備: ターゲットが使用しているブラウザやOfficeのバージョンを特定し、そのバージョンに存在する既知の（または未知の「0-day」）脆弱性を突くファイルを作成します。
デリバリー:
- スピアフィッシング: 悪意のあるPDFやWord文書をメールで送る。
- ドライブバイダウンロード: 脆弱性を突くスクリプトを仕込んだWebサイトに誘導する。
脆弱性の発動: ユーザーがファイルを開くと、メモリ破壊（バッファオーバーフローなど）が発生し、プログラムの制御が攻撃者に移ります。
ペイロードの実行: 制御を奪った後、ビーコン（通信プログラム）をダウンロードして実行したり、直接メモリ上でコマンドを走らせたりします。

3. 防御・対策

「隙（脆弱性）」をなくし、実行された際の被害を最小限に抑えることが重要です。

迅速なパッチ管理: OSやブラウザ、Officeソフトを常に最新の状態に保ち、既知の脆弱性を塞ぎます。
ブラウザのサンドボックス化: 現代のブラウザが持つ「サンドボックス（隔離環境）」機能を活用し、脆弱性を突かれてもOS本体に影響が及ばないようにします。
EDRによるメモリ監視: メモリ上での不自然な挙動（バッファオーバーフローの検知など）をリアルタイムで監視・ブロックするソリューションを導入します。
ASR (Attack Surface Reduction) ルールの適用: 「Officeアプリによる子プロセスの作成禁止」などのルールを適用し、エクスプロイト成功後の活動を封じ込めます。

4. 重要ポイント

「ユーザーの操作」がトリガー: 攻撃を成功させるには、ユーザーに「ファイルを開かせる」「サイトを訪れさせる」というステップが必要なため、ソーシャルエンジニアリングと組み合わされます。
0-day（ゼロデイ）の脅威: まだパッチが公開されていない未知の脆弱性を悪用された場合、防御は極めて困難になります。

5. 関連する主なCWE

CWE-119: Buffer Errors: メモリの境界を越えてデータを書き込んでしまう、最も代表的なエクスプロイトの原因。
CWE-416: Use After Free: 解放済みのメモリ領域を再利用するバグ。近年のブラウザの脆弱性で非常に多く見られます。

6. 関連する代表的なCVE

CVE-2017-0199: Microsoft OfficeのRTF文書の脆弱性。文書を開くだけで外部のスクリプトを実行させることができ、多くの攻撃者に悪用されました。
CVE-2021-40444: MSHTML（Internet Explorerのエンジン）の脆弱性。Office文書を介して遠隔操作を可能にしました。
CVE-2023-3079: Google ChromeのV8エンジンにおける型混乱の脆弱性。ブラウザを介したコード実行に悪用されました。

実務上のヒント

不審なメールの添付ファイルを、仮想環境（サンドボックス）やブラウザのプレビュー機能だけで確認させる運用は、この T1203 に対する非常に有効な「現場レベル」の防御策になります。

分析

この攻撃手法を利用する脅威アクター

攻撃手法 – 脅威アクター Graph

← Technique一覧に戻る ← Tactics一覧に戻る

Trusted Design