Microsoft avertizează cu privire la Internet Explorer zero-day, dar nici un patch încă

Microsoft a publicat astăzi un aviz de securitate despre o vulnerabilitate Internet Explorer (IE) care este în prezent exploatată în sălbăticie-așa-numita zi zero.

consultanța de securitate a companiei (ADV200001) include în prezent doar soluții și atenuări care pot fi aplicate pentru a proteja sistemele vulnerabile de atacuri.

la momentul scrierii, nu există nici un patch pentru această problemă. Microsoft a spus că lucrează la o soluție, care va fi lansată la o dată ulterioară.

în timp ce Microsoft a declarat că este conștient de faptul că IE Zero-day este exploatată în sălbăticie, compania le-a descris ca fiind “atacuri direcționate limitate”, sugerând că zero-day nu a fost exploatat pe scară largă, ci mai degrabă că a făcut parte din atacuri care vizează un număr mic de utilizatori.

se crede că aceste atacuri limitate IE zero-day fac parte dintr-o campanie de hacking mai mare, care implică și atacuri împotriva utilizatorilor Firefox.

conectat la Firefox zero-day de săptămâna trecută

săptămâna trecută, Mozilla a patch-uri un zero-day similar care a fost exploatat pentru a ataca utilizatorii Firefox. Mozilla a creditat Qihoo 360 pentru descoperirea și raportarea Firefox zero-day.

într-un tweet acum șters, firma chineză de securitate cibernetică a declarat că atacatorii exploatează și un Internet Explorer zero-day. Aceasta pare a fi ziua zero pe care cercetătorii Qihoo 360 au menționat-o la acea vreme.

nu s-au împărtășit informații despre atacator sau despre natura atacurilor. Qihoo 360 nu a returnat o cerere de comentarii căutând informații despre atacuri.

RCE în IE

la nivel tehnic, Microsoft a descris acest IE zero-day ca un defect de execuție a codului la distanță (RCE) cauzat de o eroare de corupție a memoriei în motorul de scripting IE-componenta browserului care gestionează codul JavaScript.

mai jos este descrierea tehnică Microsoft a acestei zile zero:

există o vulnerabilitate de execuție a codului la distanță în modul în care motorul de scripting gestionează obiectele din memorie în Internet Explorer. Vulnerabilitatea ar putea corupe memoria în așa fel încât un atacator să poată executa cod arbitrar în contextul utilizatorului curent. Un atacator care a exploatat cu succes vulnerabilitatea ar putea obține aceleași drepturi de utilizator ca și utilizatorul curent. Dacă utilizatorul curent este conectat cu drepturi de utilizator administrative, un atacator care a exploatat cu succes vulnerabilitatea ar putea prelua controlul asupra unui sistem afectat. Un atacator ar putea apoi să instaleze programe, să vizualizeze, să modifice sau să șteargă date sau să creeze conturi noi cu drepturi complete de utilizator.

într-un scenariu de atac bazat pe web, un atacator ar putea găzdui un site web special conceput pentru a exploata vulnerabilitatea prin Internet Explorer și apoi pentru a convinge un utilizator să vizualizeze site-ul web, de exemplu, prin trimiterea unui e-mail.

toate versiunile Windows desktop și Server OS acceptate sunt afectate, a spus Microsoft.

această zi zero IE RCE este, de asemenea, urmărită ca CVE-2020-0674.

Microsoft a patch-uri două IE zero-days similare în septembrie și noiembrie 2019. Deși IE nu mai este browserul implicit în cele mai recente versiuni ale sistemului de operare Windows, browserul este încă instalat cu sistemul de operare. Utilizatorii de pe versiunile mai vechi de Windows sunt cei în primul rând expuși riscului.