カスペルスキー、2023年「葬られた」Internet Explorerのゼロデイ脆弱性について解説

　株式会社カスペルスキーは7月22日、Internet Explorerのゼロデイ脆弱性について、解説記事を同社ブログで発表した。

　Microsoftが2024年7月にリリースした月例セキュリティパッチ「パッチチューズデー」では、4つのゼロデイ脆弱性を含む142件の脆弱性が明らかとなった。4つのゼロデイ脆弱性のうち2つはすでに公に知られていたが、残りの2つは攻撃者によって積極的に悪用されていた。うち1つのゼロデイ脆弱性は、Microsoftが2015年に開発を中止し、2023年2月に「確実に、絶対に「葬り去る」と約束したInternet Explorer」で見つかり、過去1年半にわたりパスワードを盗むために使われてきたとみられている。

　Microsoftは2023年当時、最後の「お別れ」アップデートでシステムからブラウザを削除したのではなく、単に無効にしただけで、その上、Windowsのすべてのバージョンで無効になったわけではなかった。ユーザーはInternet Explorerを単体のアプリとしては使用できないが、システム内には残っており、Internet Explorerで見つかった新しい脆弱性は、何年も使用していないユーザーであっても、すべてのWindowsのユーザーに脅威をもたらす可能性がある。

　発見されたInternet Explorerのゼロデイ脆弱性 CVE-2024-38112は、Internet Explorerを動かすMSHTMLブラウザエンジンの欠陥で、CVSS v3スケールで10段階中7.5、深刻度は「高」と評価されている。

　同脆弱性を悪用するには、攻撃者は一見何の変哲もない「mhtml」から始まるインターネットショートカットファイル (.url) を作成する必要があり、ユーザーがこのファイルを開くと、デフォルトのブラウザではなくInternet Explorerが起動する。

　同ブログでは、攻撃者がどのようにCVE-2024-38112を悪用したのか、同脆弱性が発見された攻撃をもとに解説を行っている。

　なお、Microsoftでは同脆弱性を2024年7月のパッチで修正しており、パッチが適用されていればInternet ExplorerではなくEdgeで開かれるようになる。

　同ブログではCVE-2024-38112について、「「葬られた 」ブラウザーが当分の間Windowsユーザーにつきまとい続けていることを再び気づかされました。 」と評している。