はじめに
Microsoftは、ゼロデイ攻撃に悪用されたことを受け、EdgeブラウザのInternet Explorer (IE) モードへのアクセスを制限しました。この攻撃では、ハッカーがChakra JavaScriptエンジンのゼロデイ脆弱性を悪用し、標的のデバイスへのリモートアクセスを確立していたことが判明しています。
攻撃の詳細
Microsoft Edgeセキュリティチームのリーダーであるガレス・エヴァンス氏によると、攻撃者はソーシャルエンジニアリングとChakraエンジンのエクスプロイトを組み合わせて、リモートコード実行を達成しました。具体的には、攻撃者はユーザーを「公式に見せかけた偽のウェブサイト」に誘導し、インターフェース要素を通じてIEモードでページを読み込むよう促しました。Chakraのゼロデイ脆弱性を悪用した後、攻撃者は別の脆弱性を利用して権限を昇格させ、ブラウザから脱出してデバイスを完全に制御していました。エヴァンス氏は悪用された脆弱性の識別子を明らかにしていませんが、Chakraの脆弱性はまだパッチが適用されていないと述べています。
Microsoftの対応
このリスクを軽減するため、MicrosoftはIEモードを簡単に有効化できる方法を削除しました。これには、専用のツールバーボタン、コンテキストメニュー、ハンバーガーメニューの項目が含まれます。現在、IEモードをアクティブにしたいユーザーは、「設定 > 既定のブラウザー > 許可」に移動し、Internet Explorerを使用して読み込むべきページを個別に定義する必要があります。これらの新しい制限は、IEモードの有効化を「意図的なユーザーアクション」とすることを目的としています。また、IEモードで読み込むことが承認されたウェブサイトのリスト化により、攻撃者が侵害を成功させることを非常に困難にすることを目指しています。
影響と推奨事項
これらの変更は、エンタープライズポリシーを通じてIEモードを設定している商用ユーザーには適用されません。しかし、Microsoftは、ユーザーに対し、より優れたセキュリティ、信頼性、およびパフォーマンスを提供する最新の製品へ、レガシーなウェブ技術から移行するよう改めて促しています。IEモードは、2022年6月15日にInternet Explorerのサポートが終了した後も、ActiveXやFlashなど、古い技術を使用する一部のビジネスアプリケーションや政府ポータルとの互換性のために提供されていました。