Microsoft mette in guardia su Internet Explorer zero-day, ma senza patch di sicurezza

Microsoft ha pubblicato un advisory di sicurezza di oggi su Internet Explorer (IE) e la vulnerabilità che è attualmente sfruttato in natura-un cosiddetto “giorno zero”.

L’advisory sulla sicurezza dell’azienda (ADV200001) attualmente include solo soluzioni alternative e mitigazioni che possono essere applicate al fine di salvaguardare i sistemi vulnerabili dagli attacchi.

Al momento della scrittura, non esiste alcuna patch per questo problema. Microsoft ha detto che stava lavorando su una correzione, per essere rilasciato in un secondo momento.

Mentre Microsoft ha dichiarato di essere consapevole che lo zero-day di IE veniva sfruttato in natura, la società ha descritto questi come “attacchi mirati limitati”, suggerendo che lo zero-day non era ampiamente sfruttato, ma piuttosto che faceva parte di attacchi mirati a un piccolo numero di utenti.

Questi attacchi IE zero-day limitati si ritiene di essere parte di una più ampia campagna di hacking, che coinvolge anche gli attacchi contro gli utenti di Firefox.

Collegato alla scorsa settimana Firefox zero-day

La scorsa settimana, Mozilla patchato un simile zero-day che è stato sfruttato per attaccare gli utenti di Firefox. Mozilla accreditato Qihoo 360 per scoprire e segnalare il Firefox zero-day.

In un tweet ormai cancellato, la società di cyber-sicurezza cinese ha detto che gli aggressori sono stati anche sfruttando un Internet Explorer zero-day. Questo sembra essere lo zero-day che i ricercatori di Qihoo 360 hanno menzionato all’epoca.

Non sono state condivise informazioni sull’attaccante o sulla natura degli attacchi. Qihoo 360 non ha restituito una richiesta di commento alla ricerca di informazioni sugli attacchi.

RCE in IE

A livello tecnico, Microsoft ha descritto questo IE zero-day come un difetto di esecuzione del codice remoto (RCE) causato da un bug di corruzione della memoria nel motore di scripting di IE-il componente del browser che gestisce il codice JavaScript.

Di seguito è riportata la descrizione tecnica di Microsoft di questo zero-day:

Esiste una vulnerabilità di esecuzione di codice remoto nel modo in cui il motore di scripting gestisce gli oggetti in memoria in Internet Explorer. La vulnerabilità potrebbe danneggiare la memoria in modo tale che un utente malintenzionato possa eseguire codice arbitrario nel contesto dell’utente corrente. Un utente malintenzionato che ha sfruttato con successo la vulnerabilità potrebbe ottenere gli stessi diritti utente dell’utente corrente. Se l’utente corrente è connesso con diritti utente amministrativi, un utente malintenzionato che ha sfruttato con successo la vulnerabilità potrebbe prendere il controllo di un sistema interessato. Un utente malintenzionato può quindi installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account con diritti utente completi.

In uno scenario di attacco basato sul Web, un utente malintenzionato potrebbe ospitare un sito Web appositamente predisposto progettato per sfruttare la vulnerabilità tramite Internet Explorer e quindi convincere un utente a visualizzare il sito Web, ad esempio, inviando un’e-mail.

Tutte le versioni del sistema operativo Windows desktop e Server supportate sono influenzate, ha affermato Microsoft.

Questo IE RCE zero-day viene anche monitorato come CVE-2020-0674.

Microsoft ha patchato due giorni zero IE simili a settembre e novembre 2019. Sebbene IE non sia più il browser predefinito nelle ultime versioni del sistema operativo Windows, il browser è ancora installato con il sistema operativo. Gli utenti su versioni precedenti di Windows sono quelli principalmente a rischio.