Internet Explorer zero-day sérülékenység

CH azonosító: CH-14761 Cím: Internet Explorer zero-day sérülékenység Angol cím: Internet Explorer zero-day vulnerability

Publikálás dátuma: 2020.01.20. Utolsó módosítás dátuma: 2020.01.20.


Leírás

A CVE-2020-0674 számon az Internet Explorer webböngészőt érintő magas kockázati besorolású sérülékenység vált ismertté, melyet kihasználva a távoli hozzáféréssel rendelkező támadó tetszőleges parancsokat futtathat az aktuális felhasználóval összefüggésben, érzékeny információkhoz férhet hozzá, programokat törölhet és telepíthet, illetve új felhasználói profilt is létrehozhat.

Leírás forrása: Gyártói referencia: portal.msrc.microsoft.com Leírás utolsó módosítása: 2020.01.20.


Elemzés leírás

A hiba a Microsoft Internet Explorer nem megfelelő memóriakezeléséből ered. A sérülékenységet kihasználva a távoli támadó memóriahibát generálhat, melynek folyományaként tetszőleges parancsokat futtathat az aktuális felhasználóval összefüggésben. Ha az érintett felhasználó rendszergazdai jogosultsággal rendelkezik az adott eszközön, úgy a támadó átveheti a rendszer feletti teljes irányítást is, azaz érzékeny információkhoz férhet hozzá, programokat törölhet és telepíthet, illetve új felhasználói profilt is létrehozhat.

Web alapú támadás esetén a támadónak  létre kell hoznia egy speciálisan kialakított weboldalt, amely megnyitásával lehetőség nyílhat a sérülékenység kihasználására.

Érintett verziók: Microsoft Internet Explorer 9, 10, 11

A sérülékenységet aktívan kihasználják, javítás jelenleg nem elérhető.

A gyártó javaslatai:

  • A sikeres támadás hatásainak csökkentése érdekében az összes szoftvert nem privilegizált felhasználóként futtassa.
  • Soha ne keressen fel megbízhatatlan webhelyeket, ne kattintson ismeretlen, vagy nem megbízható forrásokból származó linkekre.
  • Alkalmazza a “legkisebb kiváltság” elvét.
Elemzés leírás forrása: Gyártói referencia: portal.msrc.microsoft.com Elemzés leírás utolsó módosítása: 2020.01.20.


Hatás

CVSS3 Severity and Metrics

Base score: 7.5 (Magas)
Vector: AV:N/AC:L/Au:N/C:P/I:P/A:P
Impact Score:
Exploitability Score:


Attack Vector (AV): Network
Attack Complexity (AC): Low
Confidentiality Impact (C):
Integrity Impact (I):
Availability Impact (A):

CVSS2 Severity and Metrics

Base score: (Nincs)
Vector:
Impact Subscore:
Exploitability Subscore:




Hivatkozások

Gyártói referencia: portal.msrc.microsoft.com
Egyéb referencia: www.kb.cert.org
Egyéb referencia: meterpreter.org
Egyéb referencia: www.grahamcluley.com
Egyéb referencia: securityaffairs.co
Egyéb referencia: www.reddit.com