Internet Explorerにゼロデイ脆弱性

Microsoftは、2024年7月の月例セキュリティパッチ「パッチチューズデー」をリリースし、4つのゼロデイ脆弱性を含む142件の脆弱性を明らかにしました。 4つのゼロデイ脆弱性のうち2つはすでに公に知られていましたが、残りの2つは攻撃者によって積極的に悪用されていました。

興味深いことに、うち一つのゼロデイ脆弱性は、Microsoftが2015年に開発を中止し、2023年2月に確実に、絶対に「葬り去る」と約束したInternet Explorerで見つかり、過去1年半にわたってパスワードを盗むために使われてきたとみられています。

Internet Explorerはなぜまだ生き続けているのか

2023年、Internet Explorerを葬り去ろうとする試みについて記事を公開しました。英語のブログですがぜひご一読ください。当時 Microsoftは、最後の「お別れ」アップデートで、システムからブラウザーを削除したのではなく、単に無効にしただけでした。その上、Windowsのすべてのバージョンで無効になったわけではありませんでした。

これは、ユーザーはInternet Explorerを単体のアプリとしては使用することはできませんが、まだシステム内に残っていることを意味します。 したがって、この「消滅したはず」のブラウザーで見つかった新しい脆弱性は、たとえInternet Explorerを何年も使用していないユーザーであっても、すべてのWindowsのユーザーに脅威をもたらす可能性があります。

CVE-2024-38112:Windows MSHTMLの脆弱性

では、発見された脆弱性CVE-2024-38112について詳しく見ていきましょう。 これは、Internet Explorerを動かすMSHTMLブラウザーエンジンの欠陥です。 この脆弱性は、CVSS v3スケールで10段階中7.5、深刻度は「高」と評価されています。

この脆弱性を悪用するには、攻撃者は一見何の変哲もない「mhtml」から始まるインターネットショートカットファイル (.url) を作成する必要があります。 ユーザーがこのファイルを開くと、デフォルトのブラウザーではなく、セキュリティメカニズムがあまり良くないInternet Explorerが起動します。

攻撃者はどうCVE-2024-38112を悪用したのか

この脆弱性がどのように悪用されるのかを理解するために、この脆弱性が発見された攻撃を見てみましょう。 攻撃は、PDFに使われるアイコンと二重拡張子.pdf.urlを持つ.urlファイルをユーザーに送信するところから始まります。

悪意のある.urlファイルの中に、mhtmlから始まる「脆弱な」リンクが確認できます。 最後の2行は、アイコンをPDFに使用されるものに変更する役割を担っています。 出典

このように、ユーザーには、このファイルは一見無害なPDFへのショートカットのようにみえます。しかし ユーザーがこのファイルを一度クリックすると、CVE-2024-38112の脆弱性が悪用される仕組みになっています。mhtmlから始まる .urlファイルであるため、システムのデフォルトブラウザではなくInternet Explorerを開きます。

悪意のあるファイルを開こうとすると、Internet Explorerが起動します。 出典

問題は、対応するダイアログボックスで、Internet ExplorerがPDFショートカットのふりをして同じ.urlファイルの名前を表示することです。 そのため、「開く」をクリックするとPDFが表示されると考えるのが自然です。 しかし実際には、ショートカットはHTAファイルをダウンロードして起動するリンクを開きます。

これはHTMLアプリケーションで、Microsoftが発明したスクリプト言語の一つです。 通常のHTMLウェブページとは異なり、このようなスクリプトは本格的なアプリケーションとして実行され、ファイルやWindowsレジストリの編集など、さまざまなことをすることができます。 要するに、非常に危険なのです。

このファイルを起動すると、Internet Explorerは、Windowsユーザーに馴染みのある形式で、あまり意味のない警告を表示しますが、多くの人はこれを単に無視してしまうでしょう。

PDFファイルを開く代わりに、悪意のあるHTA（HTMLアプリケーション）が起動され、無意味なInternet Explorerの警告が表示されます。 出典

ユーザーが「許可」をクリックすると、ユーザーのパソコン上で、マルウェアであるインフォスティーラーが起動し、ブラウザーに保存されているパスワード、クッキー、閲覧履歴、暗号ウォレットキー、その他の貴重な情報を収集し、攻撃者のサーバーに送信されてしまいます。

身を守るために

Microsoftはすでにこの脆弱性を今月のパッチで修正しています。パッチが適用されていれば、.urlファイル内のmhtmlを使ったトリックが機能しなくなり、そのようなファイルはより安全なブラウザーであるEdgeで開かれるようになります。

とはいえ、発見されたゼロデイ脆弱性は、「葬られた 」ブラウザーが当分の間Windowsユーザーにつきまとい続けていることを再び気づかされました。 その意味で、Internet ExplorerとMSHTMLエンジンに関連するすべての最新アップデートを速やかにインストールすることを推奨します。 また、すべてのWindowsデバイスで信頼できるセキュリティソリューションを使用しましょう。