piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

標的型攻撃で悪用されたInternet Explorerの未修正の脆弱性CVE-2020-0674についてまとめてみた

2020年1月17日、MicrosoftはInternet Explorerに深刻な脆弱性が存在し発表時点でまだ修正中であることを明らかにしました。ここでは関連する情報をまとめます。

1.概要編

① いま何が起きているの?(1月17日時点)
  • サポートされている全てのInternet Explorerに深刻な脆弱性。脆弱性はCVE-2020-0674が採番。1月11日時点のCVSSスコア(現状値)は7.1
  • 17日時点で修正中であり更新プログラムが公開されていない。限定的ながらこの脆弱性を悪用する攻撃が確認されている。
  • 2020年1月14日にサポート期限を迎えたばかりのWindows 7も影響を受ける。更新プログラムの提供は明記がないが、Microsoftが発表した対象のリストに含まれている。

② この脆弱性の影響を受けるとどうなるの?

  • リモートから任意のコード実行が可能な脆弱性が存在し、悪用サイトをInternet Explorerで閲覧した際にマルウェアに感染する恐れがある。
  • 閲覧をしたユーザー権限の範囲で影響を受けるため、管理者権限での悪用にはユーザー自身が特権保有をしているか、あるいは別の特権昇格の脆弱性を併用する必要がある。
③影響を受ける製品は何?
  • Internet Explorer 9、10、11が影響を受ける。Windows 10 標準ブラウザのEdgeは対象外。
  • OSは32bit、64bit両方とも対象。Windows 10 は全てのバージョンが影響を受ける。
  • サーバーOSも影響を受けるが、既定で制限モード(セキュリティ強化の構成)で実行されるため緩和策として有効。OSはいずれも深刻度「中」と評価されている。
IE OS 深刻度
Internet Explorer 11 Windows 7
Windows 8.1/RT 8.1
Windows 10
重大
Internet Explorer 9 Windows Server 2008
Internet Explorer 10 Windows Server 2012
Internet Explorer 11 Windows Server 2012
Windows Server 2012 R2
Windows Server 2016
Windows Server 2019
④ Microsoftの公式情報はどこ?

Microsoftのセキュリティアドバイザリが公開されている。(1月17日公開)

JPCERT/CC等の組織からも注意喚起が出されている。

2.対策編

①まず何をしたらいいの?
  • 影響を受ける製品を利用しているか確認する。
② 影響を受けることが確認できた。次にどうしたらいいの?
  • 修正版公開まで次の対策ができるか(既に提供されているか)を確認する。
  1. Internet Explorerの外部のサイトに対する閲覧利用の制限
  2. Microsoftの公開する回避策の適用
  3. FWやIPS/IDSによるExploitコードの遮断
③ 一時的な回避策はないの?
  • Microsoftはアドバイザリで回避策としてJScript.dllへのアクセス制限を紹介している。
  • 回避策によりこのDLLに依存する処理に影響が及ぶ可能性がある。
  • 回避策適用時は更新プログラム公開後、インストールする前に元に戻す必要がある。
  • 既定では脆弱性の影響を受けないJscript9.dllが使用されるため、JScriptを使用する特定のWebサイトで影響を受ける。

3.脆弱性情報編

① CVE-2020-0674は何が原因で起こる脆弱性なの?
  • Internet ExplorerのJScriptを処理するDLLにメモリ破損の不具合が存在する。
  • この不具合を使ってリモートから任意のコード実行をすることが可能。
② 誰が見つけたの?

Microsoftのアドバイザリ謝辞欄には2名の方の名前が掲載されている。

  • Google ClémentLecigne氏
  • Qihoo 360 Ella Yu氏

4.攻撃活動編

  • piyokangoが把握している範囲ではCVE-2020-0674の検証コード等は出回っておらず、脆弱性を誰でも試せる状態にはなっていない。(1月20日時点)
  • ブラウザの脆弱性であり、かつ同じ企業が謝辞(報告者)に含まれる。さらにツイートの削除の経過もあり、先日修正されたFirefoxの脆弱性も同じキャンペーンで悪用されていたのではないかとZDnetの記事では推定している。

更新履歴

  • 2020年1月20日 AM 新規作成
  • 2020年1月20日 AM JavaScript と誤って記述していた箇所をJScriptに修正