東京, 12月12日, /AJMEDIA/
Googleは米国時間12月7日、Microsoftが11月の月例セキュリティパッチ「Patch Tuesday」で対処した興味深いゼロデイ脆弱性について、より詳しい情報を公開した。
共通脆弱性識別子として「CVE-2022-41128」が割り当てられたこのリモートコード実行(RCE)の脆弱性は、「Windows」上で稼働するJavaScriptスクリプティング言語の1つである「JScript9」に潜んでいたものだ。JScript9は「Internet Explorer 11」(IE 11)のJavaScriptエンジンとして採用されていたため、この脆弱性は「Windows 7」から「Windows 11」、そして「Windows Server 2008」から「Windows Server 2022」に影響を与えるものとなっている。
MicrosoftはIE 11のサポートを6月15日に終了しており、「Microsoft Edge」の「IEモード」を使用するようユーザーに勧めている。しかしGoogleによると、IEに存在するこの種の脆弱性の悪用が続いているという。というのも、JScript9エンジンが依然として「Office」に統合されているためだ。
では、レガシーなIE 11に存在するこの新たなエクスプロイトの背後にいる攻撃アクターとは誰なのだろうか。
Googleの脅威分析グループ(TAG)のメンバーであるClement Lecigne氏(Microsoftに同脆弱性を報告した人物でもある)とBenoit Sevens氏によると、IEに対する今回のエクスプロイトを生み出したのは北朝鮮の脅威アクター「APT37」だという。
TAGが説明しているように、OfficeはHTMLコンテンツの描画にIEを使用するため、この攻撃者らは同エクスプロイトをOffice文書に潜ませて配布していた。OfficeがHTMLやウェブコンテンツを描画する際、デフォルトブラウザーが「Google Chrome」に設定されていたとしても、IEのエンジンがデフォルトで用いられる。Officeを介してIEのエクスプロイトを配布するというこのような手口は、2017年の登場以来続いている。
両氏は「このベクターを介してIEのエクスプロイトを配布する場合、標的側がデフォルトブラウザーとしてIEを使用していなくてもよく、また攻撃側が強化された保護モード(EPM)によるサンドボックスからの脱出エクスプロイトを併用しなくても済むという利点がある」と同社ブログに記している。
また両氏は、この脆弱性が「CVE-2021-34480」とよく似ているとも記している。同脆弱性はGoogleのセキュリティチーム「Project Zero」が2021年に発見した、IE 11のJITコンパイラーに潜んでいたものであり、同チームの分析によると今回の脆弱性もIEのJITコンパイラーに端を発しているという。
同チームの研究者であるIvan Fratric氏は当時、MicrosoftによるIE 11のサポートが終了しているとはいえ、IE(すなわちIEのエンジン)は他の製品、特に同社のOffice製品に統合され続けていると指摘していた。Fratric氏は、こういった統合が依然として存在しているため、攻撃者によるこの種の脆弱性の悪用がいつまで続くのか分からないとしていた。
