Microsoft社は、2020年1月17日、Webブラウザ「Internet Explorer(IE)」に関連するリモートコード実行(RCE)の脆弱性「CVE-2020-0674」に関して注意喚起のアドバイザリ(ADV200001)を公表しました。当記事執筆の時点(2020年1月20日)では、更新プログラムはまだリリースされていませんが、同社は、この脆弱性を悪用する標的型サイバー攻撃の存在を認識しています。同社サポートのWindowsデスクトップ製品およびサーバのオペレーティングシステム(OS)すべてのバージョンが、この脆弱性の影響を受ける可能性があります。
脆弱性「CVE-2020-0674」は、IEメモリ内のスクリプトエンジンによるオブジェクト処理方法の不備に起因します。攻撃者は、この脆弱性を悪用することにより、カレントユーザ(ログイン中のユーザ)の環境下で、任意コードを実行することが可能になります。このため、被害を受けたユーザが管理者としてログインしている場合、攻撃は管理者権限で実行されます。この脆弱性では、他のRCE関連の脆弱性悪用と同様、攻撃者が新規のアカウントを作成したり、データを変更したり、マルウェアなどをインストールしたりする危険性があります。
この脆弱性を悪用する攻撃のシナリオとしては、Web上などから脆弱性を攻撃するコンテンツをIEに読み込ませる、遠隔攻撃が考えられます。攻撃者は偽装メールなどを駆使したソーシャルエンジニアリング手法により、ユーザを不正なWebサイトへ誘導する手口が考えられます。
■ユーザ側の対処法
脆弱性「CVE-2020-0674」に対処する更新プログラムがリリースされるまでの間、Microsoft社は、スクリプトエンジン「Jscript.dll」へのアクセスを制限させる回避策を対処法として公開しています。
32ビットシステムを使用している場合は、管理者としてログインした上で、以下のコマンドをコマンドプロンプトに入力します。
takeown /f %windir%\system32\jscript.dll
cacls %windir%\system32\jscript.dll /E /P everyone:N
64ビットシステムを使用している場合は、以下のコマンドをコマンドプロンプトに入力します。
takeown /f %windir%\syswow64\jscript.dll
cacls %windir%\syswow64\jscript.dll /E /P everyone:N
takeown /f %windir%\system32\jscript.dll
cacls %windir%\system32\jscript.dll /E /P everyone:N
ただし、この回避策により、jscript.dllを使用するコンポーネントや機能のパフォーマンスが低下する可能性があることも、Microsoft社は指摘しています。このため、更新プログラムのリリース後は、適用前にこの回避策を以下の方法で解除しておく必要があります。
32ビットシステムを使用している場合は、以下のコマンドを入力します。
cacls %windir%\system32\jscript.dll /E /R everyone
64ビットシステムを使用している場合は、以下のコマンドを入力します。
cacls %windir%\system32\jscript.dll /E /R everyone
cacls %windir%\syswow64\jscript.dll /E /R everyone
■被害に遭わないためには
Microsoft社では、脆弱性「CVE-2020-0674」を悪用する攻撃は既に発生しているとしています。更新プログラムがリリースされ次第、直ちにパッチ適用の対処をお勧めします。更新プログラムがリリースされるまでの間は、上述の回避策を実行することで攻撃者による脆弱悪用を阻止することが可能です。さらに別のオプションとしては、更新プログラムがリリースされるまでの間、ネットワークトラフィックのブロック、もしくはグループポリシー設定変更によるIE自体のブロックといった対応も可能です。ただしこの場合、IEに統合されている一部のアプリケーションやWebサイトが機能しなくなる点にご注意ください。
この脆弱性の悪用では、不正なWebサイトが利用される点から、企業では、フィッシング攻撃に関する従業員へのセキュリティ教育および注意喚起が不可欠となります。また、ユーザ各自は、特に不審な電子メール内の埋め込まれたリンクをクリックする際に細心の注意を払う必要があります。
■トレンドマイクロの対策
法人向け総合エンドポイントセキュリティ「Trend Micro Apex One™」、総合サーバセキュリティ「Trend Micro™ Deep Security™ 」では以下の DPIルールにより本記事内で挙げた脆弱性を利用する攻撃を検出します。
- 1010133-Microsoft Internet Explorer Scripting Engine Memory Corruption Vulnerability (CVE-2020-0674)
ネットワーク脅威防御ソリューション「TippingPoint」では、以下のMainlineDV filter により本記事内で挙げた脆弱性を利用する攻撃を検出します。
- 36973: HTTP: Microsoft Internet Explorer Scripting Engine Memory Corruption Vulnerability
参考記事:
- 「Microsoft Releases Advisory on Zero-Day Vulnerability CVE-2020-0674, Workaround Provided」
by Trend Micro
翻訳: 与那城 務(Core Technology Marketing, Trend Micro™ Research)