Microsoft opozarja na Internet Explorer zero-day, vendar še ni popravka

Microsoft je danes objavil varnostno svetovanje o ranljivosti Internet Explorerja (IE), ki se trenutno izkorišča v divjini - tako imenovanem ničelnem dnevu.

Varnostno svetovanje podjetja (ADV200001) trenutno vključuje samo rešitve in ublažitve, ki jih je mogoče uporabiti za zaščito ranljivih sistemov pred napadi.

V času pisanja še ni popravka za to težavo. Microsoft je dejal, da dela na popravku, ki bo izdan pozneje.

Medtem ko je Microsoft dejal, da se zaveda, da se IE zero-day izkorišča v naravi, je podjetje to opisalo kot "omejeno ciljno usmerjeni napadi,« kar nakazuje, da zero-day ni bil široko izkoriščen, temveč da je bil del napadov, usmerjenih na majhno število uporabniki.

Ti omejeni napadi zero-day IE naj bi bili del večje hekerske kampanje, ki vključuje tudi napade na uporabnike Firefoxa.

Povezan s prejšnjim tednom Firefox zero-day

Prejšnji teden, Mozilla je popravila podoben zero-day ki je bil izkoriščen za napad na uporabnike Firefoxa. Mozilla je Qihoo 360 pripisala zasluge za odkritje in poročanje o ničelnem dnevu Firefoxa.

Kitajsko podjetje za kibernetsko varnost je v zdaj že izbrisanem tvitu povedalo, da so napadalci izkoriščali tudi Internet Explorer zero-day. Zdi se, da je to ničelni dan, ki so ga takrat omenili raziskovalci Qihoo 360.

Informacije o napadalcu ali naravi napadov niso bile posredovane. Qihoo 360 ni vrnil prošnje za komentar, ki je zahteval informacije o napadih.

RCE v IE

Na tehnični ravni je Microsoft ta ničelni dan IE opisal kot napako oddaljenega izvajanja kode (RCE), ki je povzročila zaradi napake v pomnilniku v skriptnem mehanizmu IE -- komponenti brskalnika, ki obravnava kodo JavaScript.

Spodaj je Microsoftov tehnični opis tega ničelnega dne:

Ranljivost oddaljenega izvajanja kode obstaja v načinu, kako skriptni mehanizem obravnava predmete v pomnilniku v Internet Explorerju. Ranljivost bi lahko poškodovala pomnilnik na tak način, da bi lahko napadalec izvedel poljubno kodo v kontekstu trenutnega uporabnika. Napadalec, ki je uspešno izkoristil ranljivost, bi lahko pridobil enake uporabniške pravice kot trenutni uporabnik. Če je trenutni uporabnik prijavljen s skrbniškimi uporabniškimi pravicami, lahko napadalec, ki je uspešno izkoristil ranljivost, prevzame nadzor nad prizadetim sistemom. Napadalec bi lahko nato namestil programe; ogled, spreminjanje ali brisanje podatkov; ali ustvarite nove račune s polnimi uporabniškimi pravicami.

V scenariju spletnega napada bi lahko napadalec gostil posebej izdelano spletno mesto, ki je zasnovano za izkoriščanje ranljivosti prek Internet Explorerja in nato prepričati uporabnika, da si ogleda spletno stran, na primer tako, da pošlje E-naslov.

To vpliva na vse podprte različice operacijskega sistema Windows za namizne in strežniške sisteme, je dejal Microsoft.

Temu ničelnemu dnevu IE RCE se sledi tudi kot CVE-2020-0674.

Microsoft je zakrpal dva podobna IE brez dni septembra in november 2019. Čeprav IE ni več privzeti brskalnik v najnovejših različicah OS Windows, je brskalnik še vedno nameščen z OS. Ogroženi so predvsem uporabniki starejših izdaj sistema Windows.