Microsoft varuje před Internet Explorer zero-day, ale zatím žádná oprava

společnost Microsoft dnes zveřejnila bezpečnostní poradenství o zranitelnosti aplikace Internet Explorer (IE), která je v současné době zneužívána ve volné přírodě-tzv.

bezpečnostní poradenství společnosti (ADV200001) v současné době zahrnuje pouze řešení a zmírnění, která lze použít k ochraně zranitelných systémů před útoky.

v době psaní není pro tento problém žádná oprava. Microsoft uvedl, že pracuje na opravě, která bude vydána později.

zatímco společnost Microsoft uvedla, že si je vědoma toho, že IE zero-day byl využíván ve volné přírodě, společnost je popsala jako “omezené cílené útoky”, což naznačuje, že zero-day nebyl široce využíván, ale spíše že byl součástí útoků zaměřených na malý počet uživatelů.

tyto omezené útoky IE zero-day jsou považovány za součást větší hackerské kampaně, která zahrnuje také útoky proti uživatelům Firefoxu.

připojeno k minulému týdnu Firefox zero-day

minulý týden Mozilla opravila podobný nulový den, který byl využíván k útoku na uživatele Firefoxu. Mozilla připsala Qihoo 360 za objevení a hlášení nulového dne Firefoxu.

v nyní smazaném tweetu čínská firma pro kybernetickou bezpečnost uvedla, že útočníci také zneužívají nulový den Aplikace Internet Explorer. Zdá se, že se jedná o nulový den, který v té době zmínili vědci Qihoo 360.

nebyly sdíleny žádné informace o útočníkovi ani o povaze útoků. Qihoo 360 neodpověděl na žádost o komentář hledající informace o útocích.

RCE v IE

na technické úrovni Microsoft popsal tento IE zero-day jako chybu vzdáleného spuštění kódu (rce) způsobenou chybou poškození paměti ve skriptovacím enginu IE-komponentě prohlížeče, která zpracovává kód JavaScript.

níže je uveden technický popis společnosti Microsoft tohoto nulového dne:

chyba zabezpečení vzdáleného spuštění kódu existuje tak, že skriptovací stroj zpracovává objekty v paměti v aplikaci Internet Explorer. Tato chyba zabezpečení by mohla poškodit paměť takovým způsobem, že útočník by mohl spustit libovolný kód v kontextu aktuálního uživatele. Útočník, který tuto chybu zabezpečení úspěšně zneužil, by mohl získat stejná uživatelská práva jako současný uživatel. Pokud je aktuální uživatel přihlášen s právy administrátora, útočník, který tuto chybu zabezpečení úspěšně zneužil, by mohl převzít kontrolu nad postiženým systémem. Útočník pak mohl nainstalovat programy; zobrazit, změnit nebo odstranit data; nebo vytvořit nové účty s plnými uživatelskými právy.

ve scénáři útoku na webu by útočník mohl hostit speciálně vytvořený web, který je navržen tak, aby zneužil zranitelnost prostřednictvím aplikace Internet Explorer, a poté přesvědčit uživatele, aby si web prohlédl, například zasláním e-mailu.

všechny podporované verze Windows desktop a Server OS jsou ovlivněny, Microsoft řekl.

tento IE rce zero-day je také sledován jako CVE-2020-0674.

Microsoft opravil dva podobné nulové dny IE v září a listopadu 2019. Ačkoli IE již není výchozím prohlížečem v nejnovějších verzích operačního systému Windows, Prohlížeč je stále nainstalován s operačním systémem. Uživatelé starších verzí systému Windows jsou primárně ohroženi.