Microsoft ostrzega o Internet Explorer zero-day, ale nie ma jeszcze łatki

Microsoft opublikował dziś informację dotyczącą luki w zabezpieczeniach Internet Explorera (IE), która jest obecnie wykorzystywana na wolności-tzw. zero-day.

doradztwo bezpieczeństwa firmy (ADV200001) obecnie obejmuje tylko obejścia i ograniczenia, które można zastosować w celu ochrony podatnych systemów przed atakami.

w chwili pisania tego tekstu nie ma łatki dla tego problemu. Microsoft powiedział, że pracuje nad poprawką, która zostanie wydana w późniejszym terminie.

podczas gdy Microsoft powiedział, że jest świadomy, że IE zero-day jest wykorzystywany na wolności, firma opisała je jako” ograniczone ataki ukierunkowane”, sugerując, że zero-day nie był szeroko wykorzystywany, ale raczej był częścią ataków wymierzonych w niewielką liczbę użytkowników.

te ograniczone ataki na IE zero-day są uważane za część większej kampanii hakerskiej, która obejmuje również ataki na użytkowników Firefoksa.

podłączony do Firefoksa zero-day z zeszłego tygodnia

w zeszłym tygodniu Mozilla poprawiła podobny zero-day, który był wykorzystywany do atakowania użytkowników Firefoksa. Mozilla przyznała Qihoo 360 za odkrycie i zgłoszenie Firefoksa zero-day.

w usuniętym tweecie chińska firma zajmująca się bezpieczeństwem cybernetycznym powiedziała, że napastnicy również wykorzystują Internet Explorera zero-day. Wydaje się, że jest to dzień zero, o którym wspominali wówczas badacze Qihoo 360.

nie udostępniono żadnych informacji na temat atakującego lub charakteru ataków. Qihoo 360 nie zwrócił się z prośbą o komentarz, szukając informacji o atakach.

RCE w IE

na poziomie technicznym Microsoft opisał ten IE zero-day jako wadę zdalnego wykonywania kodu (RCE) spowodowaną błędem uszkodzenia pamięci w silniku skryptowym IE-komponencie przeglądarki obsługującym kod JavaScript.

Poniżej znajduje się Techniczny opis tego zero-day firmy Microsoft:

luka w zdalnym wykonywaniu kodu istnieje w sposób, w jaki silnik skryptów obsługuje obiekty w pamięci w przeglądarce Internet Explorer. Luka może uszkodzić pamięć w taki sposób, że atakujący może wykonać dowolny kod w kontekście bieżącego użytkownika. Atakujący, który skutecznie wykorzystał lukę, może uzyskać takie same prawa Użytkownika, jak obecny użytkownik. Jeśli bieżący użytkownik jest zalogowany z uprawnieniami administratora, atakujący, który skutecznie wykorzystał lukę, może przejąć kontrolę nad dotkniętym systemem. Atakujący może następnie instalować programy; wyświetlać, zmieniać lub usuwać dane; lub tworzyć nowe konta z pełnymi prawami użytkownika.

w scenariuszu ataku internetowego atakujący może hostować specjalnie przygotowaną stronę internetową, która ma na celu wykorzystanie luki w przeglądarce Internet Explorer, a następnie przekonać użytkownika do wyświetlenia witryny, na przykład wysyłając wiadomość e-mail.

wszystkie obsługiwane wersje systemu Windows desktop I Server OS mają wpływ, powiedział Microsoft.

ten IE RCE zero-day jest również śledzony jako CVE-2020-0674.

Microsoft załatał dwa podobne IE zero-days we wrześniu i listopadzie 2019. Chociaż IE nie jest domyślną przeglądarką w najnowszych wersjach systemu operacyjnego Windows, przeglądarka jest nadal instalowana z systemem operacyjnym. Użytkownicy starszych wersji systemu Windows są przede wszystkim zagrożeni.