微軟昨天釋出了一個有關Internet Explorer(IE)零日遠端執行程式碼(RCE)漏洞的安全公告,該漏洞目前在野外被利用,即所謂的零日漏洞。
該公司的安全公告(ADV200001-指令碼引擎記憶體損壞漏洞)當前僅包括可應用的變通辦法和緩解措施,以保護易受攻擊的系統免受攻擊。在撰寫本文時,此問題暫無補丁。微軟表示正在開發修復程式,該修復程式將在以後釋出。
儘管微軟表示知道IE零日漏洞是在野外被利用的,但該公司將這些零日漏洞描述為“有限的針對性攻擊”,這表明零日漏洞並未得到廣泛利用,而是它旨在針對少數使用者。
這些有限的IE零日攻擊被認為是較大型黑客活動的一部分,該活動還涉及針對Firefox使用者的攻擊。
在技術層面,Microsoft將IE零日漏洞描述為遠端程式碼執行(RCE)漏洞,該漏洞是由IE指令碼引擎(處理JavaScript程式碼的瀏覽器元件)中的記憶體損壞錯誤引起的。
以下是Microsoft對該零日漏洞的技術說明:
指令碼引擎處理Internet Explorer中記憶體中的物件的方式中存在一個遠端執行程式碼漏洞。該漏洞可能以一種攻擊者可以在當前使用者的上下文中執行任意程式碼的方式來破壞記憶體。成功利用此漏洞的攻擊者可以獲得與當前使用者相同的使用者許可權。如果當前使用者使用管理使用者許可權登入,則成功利用此漏洞的攻擊者可以控制受影響的系統。然後,攻擊者可能會安裝程式。檢視,更改或刪除資料;或建立具有完全使用者許可權的新帳戶。
在基於Web的攻擊情形中,攻擊者可能擁有一個旨在通過Internet Explorer利用此漏洞的特製網站,然後誘使使用者檢視該網站(例如,通過傳送電子郵件)。
微軟表示,所有受支援的Windows桌面和Server OS版本都會受到影響。
此IE RCE零時區目前未分配CVE識別符號。
微軟在2019年9月和2019年11月修補了兩個類似的IE零日漏洞。儘管IE不再是最新Windows OS版本中的預設瀏覽器,但該瀏覽器仍隨OS一起安裝。使用較舊Windows版本的使用者受到的威脅最大。
成功利用此安全漏洞的攻擊者可以獲得與登入受損Windows裝置的使用者相同的使用者許可權。
如果使用者使用管理許可權登入,則攻擊者可以完全控制系統,從而允許程式安裝,資料操作或建立具有完全使用者許可權的帳戶的可能性。
微軟補充說:“在基於Web的攻擊情形中,攻擊者可能擁有一個旨在通過Internet Explorer利用此漏洞的特製網站,然後誘使使用者檢視該網站,例如,通過傳送電子郵件。”
受此零日漏洞影響的Internet Explorer版本和平臺的列表(包括影響和嚴重等級)在下面檢視。
產品 平臺影響力嚴重程度Internet Explorer 10Windows Server 2012遠端執行程式碼中等Internet Explorer 11適用於32位系統的Windows 10版本1803遠端執行程式碼危急Internet Explorer 11Windows 10版本1803(用於基於x64的系統)遠端執行程式碼危急Internet Explorer 11Windows 10版本1803(用於基於ARM64的系統)遠端執行程式碼危急Internet Explorer 11適用於32位系統的Windows 10版本1809遠端執行程式碼危急Internet Explorer 11Windows 10版本1809(用於基於x64的系統)遠端執行程式碼危急Internet Explorer 11Windows 10版本1809(用於基於ARM64的系統)遠端執行程式碼危急Internet Explorer 11Windows Server 2019遠端執行程式碼中等Internet Explorer 11適用於32位系統的Windows 10版本1909遠端執行程式碼危急Internet Explorer 11Windows 10版本1909(用於基於x64的系統)遠端執行程式碼危急Internet Explorer 11Windows 10 1909版(用於基於ARM64的系統)遠端執行程式碼危急Internet Explorer 11適用於32位系統的Windows 10版本1709遠端執行程式碼危急Internet Explorer 11Windows 10版本1709(用於基於x64的系統)遠端執行程式碼危急Internet Explorer 11Windows 10版本1709(用於基於ARM64的系統)遠端執行程式碼危急Internet Explorer 11適用於32位系統的Windows 10版本1903遠端執行程式碼危急Internet Explorer 11Windows 10 1903版(用於基於x64的系統)遠端執行程式碼危急Internet Explorer 11Windows 10 1903版(用於基於ARM64的系統)遠端執行程式碼危急Internet Explorer 11Windows 10(用於32位系統)遠端執行程式碼危急Internet Explorer 11Windows 10(用於基於x64的系統)遠端執行程式碼危急Internet Explorer 11適用於32位系統的Windows 10版本1607遠端執行程式碼危急Internet Explorer 11Windows 10 1607版(用於基於x64的系統)遠端執行程式碼危急Internet Explorer 11Windows Server 2016遠端執行程式碼中等Internet Explorer 11Windows 7(用於32位系統)Service Pack 1遠端執行程式碼危急Internet Explorer 11Windows 7(用於基於x64的系統)Service Pack 1遠端執行程式碼危急Internet Explorer 11Windows 8.1(用於32位系統)遠端執行程式碼危急Internet Explorer 11Windows 8.1(用於基於x64的系統)遠端執行程式碼危急Internet Explorer 11Windows RT 8.1遠端執行程式碼危急Internet Explorer 11Windows Server 2008 R2(用於基於x64的系統)Service Pack 1遠端執行程式碼中等Internet Explorer 11Windows Server 2012遠端執行程式碼中等Internet Explorer 11Windows Server 2012 R2遠端執行程式碼中等Internet Explorer 9Windows Server 2008(用於32位系統)Service Pack 2遠端執行程式碼中等Internet Explorer 9Windows Server 2008(用於基於x64的系統)Service Pack 2遠端執行程式碼中等
微軟臨時提供了以下變通辦法來緩解此漏洞:
對於32位系統,在管理命令提示符處輸入以下命令:
takeown /f %windir%\system32\jscript.dll
cacls %windir%\system32\jscript.dll /E /P everyone:N
對於64位系統,在管理命令提示符處輸入以下命令:
takeown /f %windir%\syswow64\jscript.dll
cacls %windir%\syswow64\jscript.dll /E /P everyone:N
takeown /f %windir%\system32\jscript.dll
cacls %windir%\system32\jscript.dll /E /P everyone:N
撤消解決方法
對於32位系統,在管理命令提示符處輸入以下命令:
cacls %windir%\system32\jscript.dll /E /R everyone
對於64位系統,在管理命令提示符處輸入以下命令:
cacls %windir%\system32\jscript.dll /E /R everyone
cacls %windir%\syswow64\jscript.dll /E /R everyone
ADV200001 | Microsoft指令碼引擎記憶體損壞漏洞指南:
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/ADV200001
混跡安全圈,每日必看!
掃碼關注我們 :)