Internet Explorerはマイクロソフトがかつて開発していたウェブブラウザです。
Windows95のころからWindows10までのすべてのWindowsに含まれていました。
しかし現在はすでに別のブラウザにその標準ブラウザのポジションは明け渡しています。
このInternet Explorerがいまもまだ攻撃の入り口に悪用されています。
- 添付ファイルで.urlファイルを送り付ける
攻撃手順の最初は.urlファイルの送付です。
メールを受け取った機器がWindowsの場合、このアイコンはWindowsのEdgeになっています。
しかしこのファイルはEdgeで処理されるわけではありません。 - mhtmlトリック
送付された.urlファイルを受信者がダブルクリックして開きます。
そうするとアイコン的にはEdgeになっていますので、Edgeが開くように想像しますが、実際にはInternet Explorerが起動されます。
Internet Explorerのサポートは、2022年6月15日に終了しています。
通常の脆弱性修正はすでに提供されない状態になっています。
このInternet Explorerの脆弱性を悪用します。 - CVE-2024-38112
これはWindows MSHTML Platform Spoofing Vulnerabilityとして公開された新しい脆弱性です。
2024年7月のMicrosoft Tuesdayで公表されました。
Edgeなどの現在メンテナンスされているWebブラウザアプリケーションでは.htaファイルのダウンロードは安全性のためブロックされるようになっています。
しかしInternet Explorerではそのような仕掛けは実装されていません。
.urlファイルで起動されたInternet Explorerは.htaファイルをダウンロードします。
ダウンロードの実施される前にいくつかのダイアログが表示されますが、添付ファイルをダブルクリックで開こうとしたユーザはダイアログにも内容をよく確認することなく処理が進むようにクリックしてしまうだろう、ということなのでしょう。 - 動作する.htaファイル
.htaファイルはHtmlApplicationファイルです。
ダイナミックHTML(DHTML)の機能を利用して、Windows向けアプリケーションを作成する技術の使用されたファイルです。
.htaファイルそのものは本来、Webブラウザを利用してWindowsアプリケーションを実現するための仕組みです。
しかし、.htaファイルはWindowsの一般的な実行形式である.exeに比べると認知度が低いため、これまでよく攻撃手法の一部に悪用されてきた機構でもあります。
この機構が今回の攻撃で悪用されています。
これにより、リモートコード実行が成り立ちます。
Internet Explorerは基本的にすでにサポートされていないアプリケーションです。
しかし、この問題はすでに実際の攻撃で悪用されていることの確認されている脆弱性であることもあり、2024年7月のMicrosoft Tuesdayで対策が公開されています。
サポートの終了している製品でも脆弱性対策が提供される、ありがたいことです。
せっかく提供されている安全策、速やかに取り込んでメリットを享受しておきましょう。
RESURRECTING INTERNET EXPLORER: THREAT ACTORS USING ZERO-DAY TRICKS IN INTERNET SHORTCUT FILE TO LURE VICTIMS (CVE-2024-38112)
https://research.checkpoint.com/2024/resurrecting-internet-explorer-threat-actors-using-zero-day-tricks-in-internet-shortcut-file-to-lure-victims-cve-2024-38112/
| この記事をシェア |
|
|---|
