首页
论坛
课程
招聘

微软曝新IE浏览器全系脚本引擎内存损坏零日远程攻击漏洞,野外已利用暂无补丁,附缓解命令

红数位 2020-01-18 23:26

​微软昨天发布了一个有关Internet Explorer(IE)零日远程执行代码(RCE)漏洞的安全公告,该漏洞目前在野外被利用,即所谓的零日漏洞。



该公司的安全公告(ADV200001-脚本引擎内存损坏漏洞)当前仅包括可应用的变通办法和缓解措施,以保护易受攻击的系统免受攻击。在撰写本文时,此问题暂无补丁。微软表示正在开发修复程序,该修复程序将在以后发布。


尽管微软表示知道IE零日漏洞是在野外被利用的,但该公司将这些零日漏洞描述为“有限的针对性攻击”,这表明零日漏洞并未得到广泛利用,而是它旨在针对少数用户。


这些有限的IE零日攻击被认为是较大型黑客活动的一部分,该活动还涉及针对Firefox用户的攻击。



在技术层面,Microsoft将IE零日漏洞描述为远程代码执行(RCE)漏洞,该漏洞是由IE脚本引擎(处理JavaScript代码的浏览器组件)中的内存损坏错误引起的。


以下是Microsoft对该零日漏洞的技术说明:


脚本引擎处理Internet Explorer中内存中的对象的方式中存在一个远程执行代码漏洞。该漏洞可能以一种攻击者可以在当前用户的上下文中执行任意代码的方式来破坏内存。成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录,则成功利用此漏洞的攻击者可以控制受影响的系统。然后,攻击者可能会安装程序。查看,更改或删除数据;或创建具有完全用户权限的新帐户。


在基于Web的攻击情形中,攻击者可能拥有一个旨在通过Internet Explorer利用此漏洞的特制网站,然后诱使用户查看该网站(例如,通过发送电子邮件)。


微软表示,所有受支持的Windows桌面和Server OS版本都会受到影响。


此IE RCE零时区目前未分配CVE标识符。


微软在2019年9月和2019年11月修补了两个类似的IE零日漏洞。尽管IE不再是最新Windows OS版本中的默认浏览器,但该浏览器仍随OS一起安装。使用较旧Windows版本的用户受到的威胁最大。



成功利用此安全漏洞的攻击者可以获得与登录受损Windows设备的用户相同的用户权限。


如果用户使用管理权限登录,则攻击者可以完全控制系统,从而允许程序安装,数据操作或创建具有完全用户权限的帐户的可能性。


微软补充说:“在基于Web的攻击情形中,攻击者可能拥有一个旨在通过Internet Explorer利用此漏洞的特制网站,然后诱使用户查看该网站,例如,通过发送电子邮件。”


受此零日漏洞影响的Internet Explorer版本和平台的列表(包括影响和严重等级)在下面查看。


产品 平台影响力严重程度Internet Explorer 10Windows Server 2012远程执行代码中等Internet Explorer 11适用于32位系统的Windows 10版本1803远程执行代码危急Internet Explorer 11Windows 10版本1803(用于基于x64的系统)远程执行代码危急Internet Explorer 11Windows 10版本1803(用于基于ARM64的系统)远程执行代码危急Internet Explorer 11适用于32位系统的Windows 10版本1809远程执行代码危急Internet Explorer 11Windows 10版本1809(用于基于x64的系统)远程执行代码危急Internet Explorer 11Windows 10版本1809(用于基于ARM64的系统)远程执行代码危急Internet Explorer 11Windows Server 2019远程执行代码中等Internet Explorer 11适用于32位系统的Windows 10版本1909远程执行代码危急Internet Explorer 11Windows 10版本1909(用于基于x64的系统)远程执行代码危急Internet Explorer 11Windows 10 1909版(用于基于ARM64的系统)远程执行代码危急Internet Explorer 11适用于32位系统的Windows 10版本1709远程执行代码危急Internet Explorer 11Windows 10版本1709(用于基于x64的系统)远程执行代码危急Internet Explorer 11Windows 10版本1709(用于基于ARM64的系统)远程执行代码危急Internet Explorer 11适用于32位系统的Windows 10版本1903远程执行代码危急Internet Explorer 11Windows 10 1903版(用于基于x64的系统)远程执行代码危急Internet Explorer 11Windows 10 1903版(用于基于ARM64的系统)远程执行代码危急Internet Explorer 11Windows 10(用于32位系统)远程执行代码危急Internet Explorer 11Windows 10(用于基于x64的系统)远程执行代码危急Internet Explorer 11适用于32位系统的Windows 10版本1607远程执行代码危急Internet Explorer 11Windows 10 1607版(用于基于x64的系统)远程执行代码危急Internet Explorer 11Windows Server 2016远程执行代码中等Internet Explorer 11Windows 7(用于32位系统)Service Pack 1远程执行代码危急Internet Explorer 11Windows 7(用于基于x64的系统)Service Pack 1远程执行代码危急Internet Explorer 11Windows 8.1(用于32位系统)远程执行代码危急Internet Explorer 11Windows 8.1(用于基于x64的系统)远程执行代码危急Internet Explorer 11Windows RT 8.1远程执行代码危急Internet Explorer 11Windows Server 2008 R2(用于基于x64的系统)Service Pack 1远程执行代码中等Internet Explorer 11Windows Server 2012远程执行代码中等Internet Explorer 11Windows Server 2012 R2远程执行代码中等Internet Explorer 9Windows Server 2008(用于32位系统)Service Pack 2远程执行代码中等Internet Explorer 9Windows Server 2008(用于基于x64的系统)Service Pack 2远程执行代码中等


微软临时提供了以下变通办法来缓解此漏洞:


对于32位系统,在管理命令提示符处输入以下命令:


    takeown /f %windir%\system32\jscript.dll

    cacls %windir%\system32\jscript.dll /E /P everyone:N


对于64位系统,在管理命令提示符处输入以下命令:


    takeown /f %windir%\syswow64\jscript.dll

    cacls %windir%\syswow64\jscript.dll /E /P everyone:N

    takeown /f %windir%\system32\jscript.dll

    cacls %windir%\system32\jscript.dll /E /P everyone:N


撤消解决方法


对于32位系统,在管理命令提示符处输入以下命令:


    cacls %windir%\system32\jscript.dll /E /R everyone    


对于64位系统,在管理命令提示符处输入以下命令:


    cacls %windir%\system32\jscript.dll /E /R everyone    

    cacls %windir%\syswow64\jscript.dll /E /R everyone


ADV200001 | Microsoft脚本引擎内存损坏漏洞指南:

https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/ADV200001



混迹安全圈,每日必看!

扫码关注我们 :)



分享到:
最新评论 (0)
登录后即可评论