葬ったはずでは!? 「Internet Explorer」が蘇るゼロデイ脆弱性、Kasperskyが注意喚起

起動しないはずの「IE 11」が呼び出せてしまうゼロデイ脆弱性、Kasperskyが注意喚起

　2023年2月、「Internet Explorer 11」（IE 11）はMicrosoftによって丁重に葬られました。しかし、悪い人たちはなお、自らの欲望を満たすために彼を利用し尽くそうと考えているようです。ロシアのセキュリティベンダーKasperskyは、2024年7月のセキュリティ更新プログラムで修正されたゼロデイ脆弱性「CVE-2024-38112」に注意を払うよう呼び掛けています。

　現在のWindows 10/11は、「IE 11」を実行しようとしても代わりに「Microsoft Edge」が起動するようになっています。（穴はすべて塞がれているはずです）。しかし、「IE 11」がシステムから完全に削除されたわけではありません。スタンドアロン（単体）のアプリとしては使えなくなっただけで、心臓部である「MSHTML」エンジンは互換性維持のために残されています。内部でIEコンポーネントを利用するアプリはまだ多く、それらが起動不能になるのは困るからです。

　今回問題となっている脆弱性「CVE-2024-38112」は、この単体アプリとして起動しないはずの「IE 11」が呼び出せてしまうというもの。再現するには、まずリンク先が「mshtml:」から始まるインターネットショートカットファイル（.url）を用意し、「Sample.pdf.url」などをいう名前にします。既定のOS設定では拡張子が非表示となっているため、ユーザーの目には「Sample.pdf」というPDFファイルのように見えるでしょう（ついでにファイルアイコンも偽装しておけば完璧です！）。ユーザーがこれを開くと、PDFビューワーやシステム既定のWebブラウザーではなく、葬られたはずの「IE 11」が起動し、リンク先を開こうとします。

「mshtml:」から始まるインターネットショートカットファイル（.url）を用意。ファイル名とアイコンをPDFドキュメントのように偽装しておく

　つまり、この偽装ファイルのリンク先を悪意のある.hta（HTMLアプリケーション）ファイルなどにしておけば、ユーザーはPDFドキュメントだと思ってマルウェアを開いてしまうというわけ。ファイルを開く際に警告が一応表示されますが、一般のユーザーはよく読みもせず［OK］ボタンを押すでしょう。あとは攻撃者のやりたい放題です。

ファイルを開く際に警告が一応表示されるが……

　この脆弱性は過去18カ月間、ユーザーのパスワードを盗み取るために悪用されていたとのこと。サポート中のすべてのWindowsバージョンに影響し、「CVSS v3」の基本値は「7.5」、深刻度「Important」と評価されています。今月のパッチで修正されているので、できるだけ早い適用をお勧めします。