まだ悪用されているInternet Explorer

Internet Explorerの脆弱性を悪用した攻撃はかつて多くありました。
いまでは主要なブラウザではなくなってきたこともあり、Internet Explorerの脆弱性を悪用した攻撃の数自体は減少していると考えられます。
しかしまた新たなInternet Explorerの脆弱性を悪用した攻撃が観測されています。

対象の脆弱性はCVE-2022-41128です。
攻撃は次のように進みます。

• 話題性のある内容とタイトルの記事を用意する
  今回は2022年10月29日のハロウィーンのお祝いの際に、韓国ソウルの梨泰院周辺で起こった悲劇的な事件が選択されています。
• 記事をMicrosoft Wordの文書にする
• Word文書にリッチテキストファイル(RTF)リモートテンプレートを使用する
  このように設定することで、WordはRTFファイルをリモートから取得します。
• RTFがInternet Explorerでレンダリングされる
  デフォルトブラウザがどのブラウザに設定されているかに関係なく、RTFはInternet Explorerでレンダリングされます。
• Internet ExplorerのJScriptエンジンのゼロデイ脆弱性を悪用する
  RTFに含まれる内容を脆弱性のあるエンジンで解釈することで任意のコードを実行させることができてしまいます。

この流れで攻撃が進行する場合、Internet Explorerはデフォルトブラウザである必要がありません。
また、通常であればEnhanced Protected Modeサンドボックスのなかでコードが実行されるのですが、これが脆弱性が関係しEPMをエスケープする必要がない状態で実行されてしまいます。
より簡単な手順で攻撃が実現できるということです。

この脆弱性は2022年11月3日にCVE番号が割り当てられ、対策は2022年11月8日に提供されています。
新しい脆弱性の対策です。
残念なことに今回の攻撃の事例は2022年10月31日に悪用されたことが確認されています。
つまりパッチがリリースされてから速やかに適用する運用を実施していた人もこの攻撃は防ぐことができなかったということです。
やはりこういうことが起こってしまうことはあります。
しかしやはり、とれる対策はタイムリーに適用していくことは重要と認識することが必要に思います。

参考記事（外部リンク）：Internet Explorer 0-day exploited by North Korean actor
APT37
blog.google/threat-analysis-group/internet-explorer-0-day-exploited-by-north-korean-actor-apt37/