マイクロソフトはInternet Explorerのゼロデイについて警告しますが、まだパッチはありません

マイクロソフトは、現在、野生で悪用されているInternet Explorer(IE)の脆弱性について、いわゆるゼロデイに関するセキュリティアドバイザリを公開しました。

現在、同社のセキュリティアドバイザリ(ADV200001)には、脆弱なシステムを攻撃から保護するために適用できる回避策と軽減策のみが含まれています。

この記事を書いている時点では、この問題に対するパッチはありません。 マイクロソフトは、それが修正に取り組んでいたと述べました,後日リリースされます.

マイクロソフトは、IEゼロデイが野生で悪用されていることを認識していると述べたが、同社はこれらを”限定的な標的型攻撃”と説明し、ゼロデイが広く悪用されたのではなく、少数のユーザーを対象とした攻撃の一部であることを示唆している。

これらの制限されたIEゼロデイ攻撃は、Firefoxユーザーに対する攻撃を含む大規模なハッキングキャンペーンの一部であると考えられています。

先週のFirefox zero-day

に関連して、MozillaはFirefoxユーザーを攻撃するために悪用されていた同様のゼロデイにパッチを適用しました。 Mozillaは、Firefoxのゼロデイを発見して報告したためにQihoo360を信用しました。

今削除されたツイートで、中国のサイバーセキュリティ会社は、攻撃者がInternet Explorerのゼロデイを悪用していると述べた。 これは、Qihoo360の研究者が当時言及したゼロデイのようです。

攻撃者や攻撃の性質に関する情報は共有されていません。 Qihoo360は、攻撃に関する情報を求めてコメントの要求を返しませんでした。

IEのRCE

技術レベルでは、MicrosoftはこのIEのゼロデイを、JAVASCRIPTコードを処理するブラウザコンポーネントであるIEのスクリプトエンジンのメモリ破損バグに起因するリモートコード実行(rce)の欠陥として説明しました。

以下は、このゼロデイに関するマイクロソフトの技術的な説明です。

スクリプトエンジンがInternet Explorerのメモリ内のオブジェクトを処理する方法にリモートでコードが実行される脆弱性が存在します。 この脆弱性により、攻撃者が現在のユーザーのコンテキストで任意のコードを実行するような方法でメモリが破損する可能性があります。 攻撃者がこの脆弱性を悪用した場合、現在のユーザーと同じユーザー権限を取得する可能性があります。 現在のユーザーが管理者ユーザー権限でログオンしている場合、攻撃者がこの脆弱性を悪用し、影響を受けるコンピュータを制御する可能性があります。 攻撃者は、プログラムのインストール、データの表示、変更、削除、または完全なユーザー権限を持つ新しいアカウントの作成を行う可能性があります。

webベースの攻撃シナリオでは、攻撃者はInternet Explorerを介してこの脆弱性を悪用するように設計された特別に細工されたwebサイトをホストし、電子メールを送信

すべてのサポートされているWindowsデスクトップとサーバー OSのバージョンが影響を受けている、とMicrosoftは述べています。このIE RCEゼロデイはCVE-2020-0674としても追跡されます。

マイクロソフトは、2019年9月と11月に2つの同様のIE zero-daysにパッチを適用しました。 IEは、もはや最新のWindows OSのバージョンではデフォルトのブラウザではありませんが、ブラウザはまだOSと一緒にインストールされています。 古いWindowsリリースのユーザーは、主に危険にさらされているものです。