廃止済みの「Internet Explorer」を悪用したリモートコード実行の脆弱性、Microsoftは対策パッチをリリース：チェック・ポイント・リサーチが攻撃の概要を明らかに

悪意ある.urlサンプルの内容　最後の行の文字列はMicrosoft Edgeアプリケーションファイル（msedge.exe）内のカスタマイズされたアイコンを指しているため、ショートカットファイルの外見がPDFに見える（実際にはそうではない）。重要なのは、通常の.urlファイルでは「URL=https://www.google.com」と指定される部分が、悪意のあるサンプルでは「mhtml:」「!x-usc:」という文字列を含んでいる点だ（提供：CPR）

　「mhtml」や「!x-usc:」を悪用した攻撃手法は過去のゼロデイ攻撃（CVE-2021-40444）でも確認されている。IEから開かれるWebサイトを通じて、攻撃者はさまざまな悪事を働く可能性がある。攻撃者がIEのゼロデイ脆弱性を認識している場合、被害者を攻撃してRCEを即座に実行することもできる。だが、CPRが今回分析したサンプルではIEのゼロデイ脆弱性を悪用している兆候は見られなかったという。

　代わりに、CPRは公に知られていなかったIEの別の脆弱性を使用して、攻撃者がRCEをできることを確認した。

「.hta」を隠す

　Windows 11を利用するユーザーが悪意のある.urlファイルを開こうとすると、IEとプロモートウィンドウのダイアログが表示される。IEのダイアログボックスは、PDFを開くようユーザーに要求しているように見える。

.urlファイルを開こうとすると、IEとウィンドウダイアログが表示される（提供：CPR）

　上記のIEダイアログで「開く」（デフォルトのオプション）をクリックすると、下図のような警告ダイアログが表示される。これはIEの保護モードによるものだ。

IEの保護モードによる警告ダイアログ（提供：CPR）

　これらの警告を全て無視してユーザーがPDFのショートカットを開くと、悪意のある実行ファイルがダウンロードされる。HTTPトラフィックを確認すると、.pdfの末尾にダイアログウィンドウでは非表示だった文字列が多数付与されており、末尾でアプリケーションファイルであることを示す「.hta」拡張子を確認できる。

URI全体を示すHTTPトラフィック（提供：CPR）

　このトリックを使用することで、攻撃者は被害者を巧妙にだまし、気付かれないように危険な.htaアプリケーションをダウンロードさせ、実行させることができる。

防御と緩和策

　Microsoftは、CPRが報告した問題を修正するパッチを2024年7月9日にリリースしている。CPRは7月16日に、同パッチを適用することで、.url形式のファイルをクリックしてもIEが開かれなくなり、.hta拡張子を隠す手口が対策されていることも確認済みだとしている。

　CPRは「今回報告したような攻撃手法を成功させるにはユーザーの操作が不可欠だ。従って、Windowsユーザーは信頼できないソースから送信された.url形式のファイルに注意すべきであり、Windowsユーザーはできるだけ早くパッチを適用してほしい」と述べている。