Microsoft varnar för Internet Explorer zero-day, men ingen patch ännu

Microsoft har publicerat en säkerhetsrådgivning idag om en Internet Explorer (IE) sårbarhet som för närvarande utnyttjas i naturen-en så kallad nolldag.

företagets säkerhetsrådgivning (ADV200001) innehåller för närvarande endast lösningar och mildringar som kan tillämpas för att skydda sårbara system från attacker.

i skrivande stund finns det ingen patch för det här problemet. Microsoft sa att det fungerade på en fix, att släppas vid ett senare tillfälle.

medan Microsoft sa att det var medvetet om att IE zero-day utnyttjades i naturen, beskrev företaget dessa som “begränsade riktade attacker”, vilket tyder på att zero-day inte i stort sett utnyttjades, utan snarare att det var en del av attacker riktade mot ett litet antal användare.

dessa begränsade IE-nolldagsattacker tros vara en del av en större hackingskampanj, som också involverar attacker mot Firefox-användare.

ansluten till förra veckans Firefox zero-day

förra veckan patchade Mozilla en liknande nolldag som utnyttjades för att attackera Firefox-användare. Mozilla krediterade Qihoo 360 för att upptäcka och rapportera Firefox zero-day.

i en nu borttagen tweet sa det kinesiska cybersäkerhetsföretaget att angriparna också utnyttjade en Internet Explorer zero-day. Detta verkar vara nolldagen som Qihoo 360-forskare nämnde vid den tiden.

Ingen information har delats om angriparen eller arten av attackerna. Qihoo 360 returnerade inte en begäran om kommentar som söker information om attackerna.

RCE i IE

på teknisk nivå beskrev Microsoft denna IE zero-day som en fel i remote code execution (RCE) orsakad av ett minneskorruptionsfel i IE: s skriptmotor-webbläsarkomponenten som hanterar JavaScript-kod.

Nedan följer Microsofts tekniska beskrivning av denna nolldag:

en sårbarhet för fjärrkörning av kod finns på det sätt som skriptmotorn hanterar objekt i minnet i Internet Explorer. Sårbarheten kan skada minnet på ett sådant sätt att en angripare kan köra godtycklig kod i samband med den aktuella användaren. En angripare som framgångsrikt utnyttjade sårbarheten kunde få samma användarrättigheter som den nuvarande användaren. Om den aktuella användaren är inloggad med administrativa användarrättigheter kan en angripare som framgångsrikt utnyttjade sårbarheten ta kontroll över ett påverkat system. En angripare kan sedan installera program; visa, ändra eller ta bort data; eller skapa nya konton med fullständiga användarrättigheter.

i ett webbaserat angreppsscenario kan en angripare vara värd för en speciellt utformad webbplats som är utformad för att utnyttja sårbarheten via Internet Explorer och sedan övertyga en användare att visa webbplatsen, till exempel genom att skicka ett e-postmeddelande.

alla versioner av Windows desktop och Server OS som stöds påverkas, sa Microsoft.

denna IE RCE nolldag spåras också som CVE-2020-0674.

Microsoft lappade två liknande IE-nolldagar i September och November 2019. Även om IE inte är standardwebbläsaren i de senaste Windows OS-versionerna längre, är webbläsaren fortfarande installerad med operativsystemet. Användare på äldre Windows-utgåvor är de som främst är i fara.