「IE」の脆弱性に対するゼロデイ攻撃への対応

1月19日にJPCERTコーディネーションセンター(JPCERT CC)から Microsoft Internet Explorer の未修正の脆弱性 (CVE-2020-0674) に関する注意喚起 が出ました。そのときは「IEへのゼロデイ攻撃かぁ」とどこか対岸の火事ぐらいに思っていた(苦笑)のですが、24日にこの脆弱性をついた日本国内への攻撃が観測されたという追記があったので、対応してみた話です。

27日現在パッチの提供はなし

27日現在マイクロソフトからCVE-2020-0674に対応するパッチは提供されていません。先週読んだ記事などでは、次(2月)の月次更新まで提供されないのではないかと。

この脆弱性はjscriptに起因するもので、細工されたHTMLファイル、Officeドキュメント、PDFなどで脆弱性を突かれる可能性があります。話は少しそれますが、ページの広告経由で表示されるのでしょうか、偽セキュリティソフトで面倒な問い合わせも週に数件あります… 面倒な(+_+。

深刻なナニカがあってはいけないので回避策の適用です。

回避策はjscript.dllへのアクセス制限

回避策はマイクロソフトのセキュリティアドバイザリーにあります。
ADV200001 | Microsoft Guidance on Scripting Engine Memory Corruption Vulnerability

簡単に記すと、jscript.dllの脆弱性に起因するものなので、jscript.dllへのアクセスを制限するというものです。誤解を恐れずに追記すると、インターネットエクスプローラー11(IE11) はデフォルトで jscript9.dll を使っており、jscript.dll は互換性を残すために存在しているだけのでアクセス制限してもいいでしょう、という感じでしょうか。

ただ、JPCERT CCには次のように書かれていました。

回避策を実施することで、jscript.dll の使用を制限すると、古いバージョンの JScript を使用する Web サイトや文書ファイルの閲覧に影響が生じる可能性が考えられます。回避策の適用にあたっては、十分に影響範囲を考慮の上、実施してください。

Microsoft Internet Explorer の未修正の脆弱性 (CVE-2020-0674) に関する注意喚起(JPCERT CC)

回避するためのバッチファイルを作成して配布

jscrpt.dllへのアクセスを制限するコマンドについては、上記マイクロソフトのセキュリティアドバイザリーにあります。64bitOSの場合は次のような感じ。

takeown /f %windir%\syswow64\jscript.dll
cacls %windir%\syswow64\jscript.dll /E /P everyone:N
takeown /f %windir%\system32\jscript.dll
cacls %windir%\system32\jscript.dll /E /P everyone:N

takeownコマンドでファイルの所有権をとって、caclsコマンドで誰もアクセスできないようにするというものです。

これをバッチファイルにしてSKYSEA Client Viewをインストールしているクライアントにはソフトウェア配布機能で配布して実行して完了、インストールしていないクライアントに対してはユーザーにバッチファイルの実行を依頼しました。

そう「これで完了」と思っていたのですが、甘かった。

GLOVIAが動かない

ほどなくして総務部から問い合わせがありました。「GLOVIAが使えないけど土日に何かありましたか?」と。GLOVIAは富士通のERPです。私がいる法人では人事給与システムで使っています。

そう、ここでJPCERT CCにあった注意書きを思い出しました。そしてウチのGLOVIA、バージョン古いよなぁ… ここに影響があったかと(汗)。

jscript.dllへのアクセス制限をするのを元に戻すパッチを配布して実行させてもとに戻しました。そのパッチはこんな感じ。

takeown /f %windir%\system32\jscript.dll
cacls %windir%\system32\jscript.dll /E /R everyone
takeown /f %windir%\syswow64\jscript.dll
cacls %windir%\syswow64\jscript.dll /E /R everyone

マイクロソフトのセキュリティアドバイザリーには takeownコマンドはなかったのですが、こいつをいれないとアクセス違反となるので入れました。

それにしてもゼロデイ攻撃や標的型メール攻撃などいろいろと面倒ですねぇ。どうやっても完璧にはならないし、だからといって何もせずに加害者になっていはいけないし、でも(余計な心配であってほしいですが)何も起こらないと費用を削られかねないし…

セキュリティ対策は難しい。