Microsoft varoittaa Internet Explorerin nollapäivästä, mutta ei korjaustiedostoa vielä

Microsoft on julkaissut tänään tietoturvaohjeen Internet Explorerin (IE) haavoittuvuudesta, jota parhaillaan hyödynnetään luonnossa-niin sanottu nollapäivä.

yhtiön turvallisuusneuvonta (ADV200001) sisältää tällä hetkellä vain kiertoteitä ja lievennyksiä, joita voidaan soveltaa haavoittuvien järjestelmien suojaamiseen hyökkäyksiltä.

kirjoitushetkellä numerossa ei ole paikkausta. Microsoft kertoi työstävänsä korjausta, joka julkaistaan myöhemmin.

vaikka Microsoft kertoi olevansa tietoinen IE: n nollapäivän hyödyntämisestä luonnossa, yhtiö kuvaili näitä “rajallisiksi kohdennetuiksi hyökkäyksiksi”, mikä viittaa siihen, että nollapäivää ei laajasti hyödynnetä, vaan se on osa pienelle käyttäjämäärälle suunnattuja hyökkäyksiä.

näiden rajoitettujen IE nollapäivähyökkäysten uskotaan olevan osa laajempaa hakkerointikampanjaa, johon liittyy myös hyökkäyksiä Firefoxin käyttäjiä vastaan.

viime viikolla Firefoxin nollapäivään

liitetty Mozilla paikkasi viime viikolla samanlaisen nollapäivän, jota käytettiin hyväksi Firefoxin käyttäjien kimppuun. Mozilla hyvitti Qihoo 360: n Firefoxin nollapäivän löytämisestä ja raportoinnista.

nyt poistetussa twiitissä Kiinalainen kyberturvallisuusfirma sanoi hyökkääjien käyttäneen hyväkseen myös Internet Explorerin nollapäivää. Kyseessä näyttää olevan nollapäivä, jonka Qihoo 360-tutkijat tuolloin mainitsivat.

hyökkääjästä tai iskujen luonteesta ei ole jaettu tietoa. Qihoo 360 ei vastannut kommenttipyyntöön, jossa haettiin tietoja iskuista.

RCE in IE

teknisellä tasolla Microsoft kuvaili tätä IE nollapäivää etäkoodin suorituksen (RCE) virheeksi, jonka aiheutti muistihäiriö IE: n komentosarjamoottorissa-JavaScript-koodia käsittelevässä selainkomponentissa.

alla on Microsoftin tekninen kuvaus tästä nollapäivästä:

etäkoodin suoritushaavoittuvuus on olemassa siten, että komentosarjamoottori käsittelee muistissa olevia esineitä Internet Explorerissa. Haavoittuvuus voisi turmella muistia siten, että hyökkääjä voisi suorittaa mielivaltaista koodia nykyisen käyttäjän yhteydessä. Haavoittuvuutta onnistuneesti hyödyntänyt hyökkääjä voi saada samat käyttöoikeudet kuin nykyinen käyttäjä. Jos nykyinen käyttäjä on kirjautunut sisään hallinnollisilla käyttöoikeuksilla, haavoittuvuutta onnistuneesti hyödyntänyt hyökkääjä voi ottaa haltuunsa kyseisen järjestelmän. Hyökkääjä voi sitten asentaa ohjelmia, tarkastella, muuttaa tai poistaa tietoja tai luoda uusia tilejä, joilla on täydet käyttöoikeudet.

verkkopohjaisessa hyökkäysskenaariossa hyökkääjä voisi isännöidä erityisesti muotoiltua verkkosivustoa, joka on suunniteltu hyödyntämään haavoittuvuutta Internet Explorerin kautta ja sitten vakuuttaa käyttäjän katsomaan verkkosivustoa esimerkiksi lähettämällä sähköpostia.

kaikki tuetut Windows desktop-ja Server-käyttöjärjestelmäversiot kärsivät, Microsoft kertoi.

tätä IE RCE-nollapäivää seurataan myös nimellä CVE-2020-0674.

Microsoft paikkasi kaksi samanlaista IE nollapäivää syys-ja marraskuussa 2019. Vaikka IE ei ole enää oletusselain uusimmissa Windows-käyttöjärjestelmäversioissa, selain asennetaan edelleen käyttöjärjestelmän mukana. Vanhempien Windows-julkaisujen käyttäjät ovat ensisijaisesti vaarassa.