MicrosoftのInternet Explorerブラウザで、「Nightmare Eclipse」(CVE-2016-3393)と名付けられた深刻なゼロデイ脆弱性が発見されました。この欠陥は、IEのヘルプシステムに紐づくレガシーなActiveXコントロールに存在し、攻撃者が完全なシステム制御を伴うリモートコード実行を可能にし、事実上、標的マシンの「神モード」アクセス権限を付与しました。この脆弱性は、パッチがリリースされるまで、サポートされているすべてのWindowsバージョンで活動し、世界中のユーザーに影響を与えました。
「Nightmare Eclipse」脆弱性は、ASLR(アドレス空間配置のランダム化)、DEP(データ実行防止)、EMET(強化された緩和策エクスペリエンスツールキット)を含む、現代のセキュリティ緩和策をすべて回避できたため、特に危険でした。このエクスプロイトは、長年セキュリティリスクと関連付けられてきた古いActiveXコントロールを利用し、攻撃者がシステムレベルの権限で任意のコードを実行できるようにしました。研究者たちは、悪意のあるリンクをクリックするか、侵害されたウェブページを訪問するだけで悪用可能であるなど、その悪用の容易さを指摘しました。
この欠陥は、Proofpointを含む複数のセキュリティ企業によって独自に発見され、さらに以前の2015年には、GoogleのProject Zeroの研究者Tavis Ormandy氏によって発見されていました。Ormandy氏は、Microsoftが彼の発見に対して初期の対応が遅かったため、公表を差し控えたと報じられています。この脆弱性は、Internet Explorerのようなレガシーソフトウェア、特に歴史的に重大なセキュリティ上の問題を引き起こしてきたActiveXコントロールにおけるセキュリティ維持の継続的な課題を浮き彫りにしています。このエクスプロイトは、迅速なパッチ適用が極めて重要であること、そして包括的なセキュリティ確保が困難な古い複雑なコードベースに内在する危険性を示しました。広く使用されているブラウザでこれほど強力な「神モード」脆弱性が長期間存在していたことは、重大なセキュリティ上の見落としを浮き彫りにしています。
「Nightmare Eclipse」ゼロデイの影響は甚大で、攻撃者は侵害されたシステムを完全に制御できました。これは、攻撃者がプログラムをインストールしたり、データを表示・変更・削除したり、完全なユーザー権限を持つ新しいアカウントを作成したりできることを意味します。既存のすべてのセキュリティ緩和策を回避する能力は、システム侵害への妨げられない道を提供し、これを極めて危険な脅威としました。個人ユーザーにとっては、悪意のあるリンクをクリックしたり、侵害されたサイトを訪問したりすることで、完全なデータ窃盗やシステム乗っ取りにつながる可能性がありました。組織にとっては、高度な攻撃の重要な侵入経路となり、ネットワーク侵害や重大なデータ漏洩につながる可能性がありました。Microsoftはその後、この深刻な脆弱性に対処するため、2016年10月の月例パッチ(Patch Tuesday)の一部としてパッチをリリースし、すべてのユーザーにリスクを軽減するためにシステムを直ちに更新するよう強く促しました。
出典: https://www.theverge.com/tech/940416/microsoft-nightmare-eclipse-zero-day-vulnerability