InternetExplorerの脆弱性（CVE-2020-0674）についての備忘録

１．はじめに

本記事は現時点（2020/1/24現在）で未修正のInternetExplorerの脆弱性（CVE-2020-0674）について調べてい

たことの備忘録になります。
前回と同様、基本的にはJPCERT/CC、IPA、各種ニュース、セキュリティリサーチャーのpiyokangoさん（@piyokango）がまとめていた情報を咀嚼するのが目的なので、特段新しい情報と言ったものは無いです。
ただ最後に個人的な所感などは書いていきたいと思います。

例によって問い合わせは受け付けられません。
(単純にこれ以上の情報がないので受けても対応できないためです）

CERT/CC Vulnerability Note VU#338824

Microsoft Internet Explorer の未修正の脆弱性 (CVE-2020-0674) に関する注意喚起

Microsoft Internet Explorer の脆弱性対策について(CVE-2020-0674)：IPA 独立行政法人 情報処理推進機構

piyolog

「Internet Explorer」に未修正の脆弱性、すでに悪用した攻撃を確認　

【セキュリティ ニュース】「IE」に未修正のRCE脆弱性、ゼロデイ攻撃も - 「Windows 7」にも影響（1ページ目 / 全1ページ）：Security NEXT

本日（2020/1/24）、この脆弱性を悪用したと見られるゼロデイ攻撃も観測されています。

【セキュリティ ニュース】「IE」脆弱性に対するゼロデイ攻撃、国内でも（1ページ目 / 全1ページ）：Security NEXT

２．本事象について

Windowsに標準搭載されているWebブラウザ「InternetExplorer」（以下「IE」）にリモートから任意のコード実行が可能な脆弱性が存在しています。
脆弱性を悪用された場合、攻撃者によってPCが制御されマルウェアなどのインストールをさせられる可能性があります。

３．影響を受けるIE、OSについて

影響を受けるIEは以下の通り
・InternetExplorer 11
・InternetExplorer 10
・InternetExplorer 9
影響を受けるOSは以下の通り
・Windows 10（32bit、64bit、ARM64）
　バージョンはすべて対象
　-IE11
・Windows 8.1（32bit、64bit）
　-IE11
・WindowsRT 8.1
　-IE11
・Windows 7（32bit、64bit）
　-IE11
・Windows Server 2019
　-IE11
・Windows Server 2016
　-IE11
・Windows Server 2012 R2
　-IE11
・Windows Server 2012
　-IE11
　-IE10
・Windows Server 2008 R2
　-IE11
・Windows Server 2008（32bit、64bit）
　-IE9

以下は補足
上記のOS、IE以外の組み合わせについては影響がないわけではなく、すでにサポート終了しているためそもそも検証がされていないとみるのが正しいと思われます。

一目で分かる、Internet Explorer（IE）のサポート終了時期

４．対応策

脆弱性を改善した修正版については現在公開されていません。
本脆弱性を含む更新プログラムについては提供予定のため、公開次第適用を行ってください。

2020/02/14追記
2020/02の月例アップデートで更新プログラムが公開されています。
CVE-2020-0674 | スクリプト エンジンのメモリ破損の脆弱性

タイトル未設定

５．回避策

他のブラウザ（Chrome、Firefox、Edgeなど）は本脆弱性の対象外ですので、IEの利用を一時的に停止することで回避することができます。

また、本脆弱性は「JScript.dll」というスクリプトエンジンに起因するため、JScript.dllへのアクセス制限を行うことでも回避することができます。
ただし、この回避策による別の影響があること、更新プログラム公開後にも作業が必要となります。
この回避策についてはMicrosoftのサイト、及び下記のサイトがわかりやすいかと思います。

IE JScript脆弱性の対策についてのメモ - Qiita

６．今後注意をすること

冒頭でも記載しましたが、すでに国内でもゼロデイ攻撃が観測されているため、更新版の公開までは回避策を実施して軽減を行う必要があります。

７．個人的な所感

個人的に把握している限りではWindow 7/Windows Server 2008/Windows Server 2008 R2のサポート終了（2020/1/14）後に確認された初めての大きな脆弱性だと思われます。
基本的には上記のOSに対しては修正版は提供されないと思われます。
Windows 7の重大度が「Critical」となっているため、拡張セキュリティ更新プログラムの対象であれば配布される可能性はありますが、今後も本脆弱性と同程度の影響、もしくはそれ以上の脆弱性が発見されると考えられますので、根本的な対応策としてはサポート期限内のOSへの移行を検討する必要があるかと思います。
またIE自体もすでに開発が終了しているため、使用しているWebシステムがIE以外のブラウザでは対応していないなどの特段の理由がある時以外は他のブラウザを利用することも検討が必要となるかと思われます。

2020/02/14追記
Microsoft Updateカタログ上ではWindow 7/Windows Server 2008/Windows Server 2008 R2の更新プログラムが公開されていますが、拡張セキュリティ更新プログラムの対象外の場合後進が失敗するとのことです。
個人利用の場合は更新プログラムが適用できないため、早急にサポート対象期間内のOSへの意向を検討してください。

８．最後に

今回も最後まで読んでいただけた方がいましたら、感謝いたします。
また、なにかまとめられるようなことがありましたら備忘録として残していきたいと思います。

2021/02/01追記
本件で記載していたCEV番号に誤りがありました。
正しくはCVE-2020-0674となります。
件名及び本文は修正済みとなります。
申し訳ありませんでした。