2020/01/22

CVE-2020-0674:Internet Explorer の脆弱性

internet-explorer IE ie browser

2020 年 1 月 22 日 Emil Hozan 著

Windows 7 と Winders Server 2008 のサポートが終了しましたので、この脆弱性を話題にしたいと思います。さらに悪いことにこの Internet Explorer(IE)の脆弱性は現行の Windows プラットフォームも影響を受ける上に、正式なパッチは 2 月の月例セキュリティパッチ(毎月第 2 週目の火曜日)まで予定されていません。つまり正式なパッチが約 3 週間先まで公開されません。現段階でサーバ以外の Windows プラットフォームでは深刻度は「緊急」で、Windows Server プラットフォームは「警告」となっています。

深刻度がそれぞれ異なるのは、Windows Server プラットフォームでは、Internet Explorer を Enhanced Security Configuration(セキュリティ強化の構成)として知られる制限モードで実行していることによります。これは管理者が特別に細工された Web コンテンツをダウンロードして実行する可能性を減らすためにあらかじめ設定されたものです。サーバ以外の Windows を使用している場合にはこの制限が適用されないため、Web を閲覧する場合にさらに注意する必要があります。最終的には、ユーザであるか管理者であるかにかかわらず、攻撃者が管理している Web サーバに接続した場合か、Internet Explorer スクリプトエンジンで作成されたコンテンツの埋め込みをサポートする特別に細工されたファイルを開いた場合でなければ、この脆弱性を悪用されることはありません。攻撃を受けた場合、リモートの攻撃者が、標的となったユーザと同じ権限で、システムにアクセスできるようになります。ユーザが管理者として攻撃者が管理するコンテンツにアクセスした場合、攻撃者は管理者と同等の権限、または一般ユーザとしての権限を得ることになります。

さらに興味深いのは、Internet Explorer バージョン9、10、11では jscript9.dll という新しいスクリプトがデフォルトで使われていることです。このエンジンは脆弱性による影響を受けません。影響を受けるのは、jscript9.dll よりも古い jscript.dll というスクリプトエンジンを使っている Web サイトのみです。Web サーバや特別に細工されたコンテンツはどのように脆弱なエンジンに働きかけ、どのように Internet Explorer にデフォルトの設定を無視させ、脆弱性を悪用するのは、詳細はまだ不明です。いずれにしてもマイクロソフトはこの問題に対する対策を提供しており、詳細はアドバイザリの中に示されています。jscript.dll のアクセスを制限することは、組織の要件によっては、好ましくない結果を招くことがあります。

要約とヒント

要約すると、現行の Windows のプラットフォームにこの脆弱性が存在しますが、特殊な条件の下でしかこの脅威は実行されません。正式なパッチは 2 月の月例セキュリティパッチを待たなければなりません(2 月 11 日火曜日)が、0patch がマイクロパッチを公開しています。外部の組織が他のベンダーの製品のパッチを公開する場合には、別のリスクを伴うので、くれぐれも気をつけて選択をしましょう。また、マイクロソフトは、32 ビット版と 64 ビット版の双方に適用できる回避方法と、その詳細な手順を提供しています。

そのほかの選択肢も検討してください。IE は本当に組織にとって必要でしょうか?使用する Web ブラウザを変えることによる悪影響はあるでしょうか?その変更の余地はありますか?このような検討を行う必要があります。もしブラウザの変更が不可能なのであれば、この脆弱性に対する脅威の背景を見定めましょう。第一に、この攻撃が実際に仕掛けられる可能性は、場合によって異なります。エンドユーザとしてのブラウザの使い方や、日々の習慣がその決め手となります。他の多くの脅威についても言えることですが、攻撃者が管理する Web サーバは不正をできるということ、また、悪意のあるコンテンツを開くと、さまざまな製品の脆弱性が攻撃される恐れがある、ということを考慮に入れましょう。要点としては、サイトをよく確認して、メールに埋め込まれたリンクを無闇にクリックしないようにすれば、リスクは最小限に抑えることができるということです。