360向廣大政企使用者發出Win7漏洞威脅預警通告

2020年1月14日，Win7正式宣告停服，自此微軟官方將不再對Win7系統進行任何問題的技術支援、軟體更新，以及安全更新或修復。在此之際，360安全大腦在全球範圍內率先監測到一起利用IE瀏覽器指令碼引擎0day漏洞的APT攻擊。

據360安全專家解讀，利用該漏洞，攻擊者可誘使使用者訪問惡意網頁，觸發該漏洞後可以直接獲得對使用者系統的控制，產生的影響不亞於此前WannaCry勒索病毒帶來的傷害。此漏洞波及範圍不僅影響所有微軟使用者，政府、企業使用者更將成為首要攻擊目標。

針對此問題，360獨家推出360安全大腦Windows 7盾甲企業版，支援Windows全平臺已知漏洞的補丁修復，針對突發性高位漏洞可通過先行自動覆蓋漏洞，解決防護能力滯後問題，全天候守護PC安全。360建議廣大政府、企業Win7系統使用者聯絡360安全團隊獲取幫助，以抵禦新型IE瀏覽器0day漏洞威脅，並於1月15日官方釋出《360安全大腦關於微軟Win7系統IE遠端執行漏洞利用的告客戶書》，原文如下：

（一）通告背景

2020年1月，360安全大腦在Win7停服之際，在全球範圍內率先監測到一起利用IE瀏覽器指令碼引擎0day漏洞的APT攻擊。利用該漏洞，攻擊者可誘使使用者訪問惡意網頁，觸發該漏洞後可以直接獲得對使用者系統的控制。 在捕獲到該IE瀏覽器0day漏洞攻擊的第一時間，360安全大腦對漏洞利用背後的APT組織進行追蹤與溯源分析。目前，從已捕獲攻擊細節及特徵初步判定，此次IE瀏覽器0day漏洞攻擊疑似出自半島的APT組織Darkhotel(APT-C-06)之手。 Darkhotel(APT-C-06) 是一個活躍近十餘年的東亞背景APT組織，相關攻擊行動最早可以追溯到2007年，而此次截獲的IE瀏覽器0day漏洞攻擊，也並非是360安全大腦第一捕獲該組織動向。

2018年4月，360安全大腦就曾在全球範圍內，率先監控到了該組織使用0day漏洞進行APT攻擊。而從360安全大腦溯源分析報告來看，該APT組織長期目標涉及中、俄、日等國政府及組織機構或企業單位，尤其針對中國重點省份外貿企業單位和相關機構展開攻擊，更是由來已久。 在捕獲到該IE瀏覽器0day漏洞後，360安全團隊已第一時間向微軟官方提交了詳細漏洞報告，目前微軟官方已經在跟進。 但是，必須一提的是，由於2020年1月14日起，Win7正式宣告停服，微軟官方將不再對Win7系統進行任何問題的技術支援、軟體更新，以及安全更新或修復，這意味著該IE瀏覽器0day漏洞修復補丁將不再次覆蓋Win7系統，換言之，所有Win7使用者將悉數暴露在該漏洞的陰霾之下。 對此，360安全團隊建議廣大使用者及時更新軟體補丁，Win7系統使用者則儘快下載安裝360安全大腦Windows 7盾甲企業版抵禦新型IE瀏覽器0day漏洞威脅。

（二）文件資訊

（三）漏洞概要

（四）漏洞描述

該漏洞存在於IE 中的指令碼引擎jscript.dll中，該指令碼引擎在處理記憶體物件的過程中，觸發漏洞後會造成記憶體損壞，從而可以造成遠端程式碼執行漏洞。

360安全大腦已完整捕獲攻擊過程，發現攻擊者的在野利用將該漏洞嵌入在Office文件中，使用者開啟Office文件或瀏覽網頁都會中招。而近年來，使用者量龐大、看似安全無害Office文件已逐漸成為APT攻擊最青睞的載體。

一旦使用者開啟搭載了該漏洞的惡意文件，將會瀏覽惡意網頁並執行攻擊程式，使用者甚至還未感知得到，裝置就已經被控制，攻擊者可趁機進行植入勒索病毒、監聽監控、竊取敏感資訊等任意操作。

（五）影響面評估

根據資料顯示， 直至2019年10月底，國內Windows 7系統的市場份額佔比仍有近6成，而對於國內而言，存在數量驚人的政府、軍隊、企業、個人在內的 PC使用者依然使用著Win7系統。

而Windows 7的終結，意味著數以億計的使用者失去了微軟官方的所有支援，包括軟體更新、補丁修復和防火牆保障，將直面該漏洞利用進行的攻擊，並會完全暴露在安全威脅之下。

考慮到APT組織Darkhotel(APT-C-06)長期以政府組織、企業為目標的特性，IE瀏覽器0day遠端執行漏洞影響所有微軟系統的特點，已經受影響版本中Win7系統已停服的三方面現實因素，此次IE瀏覽器0day漏洞波及範圍不僅影響所有微軟使用者，政府、企業使用者更將成為首要目標。

（六）解決方案

（1）360安全大腦Windows 7盾甲企業版

一面是APT高危漏洞攻擊，一面是Win7系統停服，政企使用者安全將何去何從？對此，廣大政企使用者可聯絡360公司獲取360安全大腦Windows 7盾甲企業版。

聯絡方式如下：

聯絡人：劉寧

電話：（010）52447992

 (010) 5781360

郵箱：liyunpeng3@360.cn

該版本一鍵管理全網終端，支援Windows全平臺已知漏洞的補丁修復，結合針對漏洞威脅全新推出的360微補丁功能，在面對“雙星”0day漏洞等突發性高危漏洞時，360微補丁可通過先行自動覆蓋漏洞，解決防護能力滯後問題，全天候守護PC安全。

360安全大腦作為360公司重磅打造的網路安全防禦雷達系統，彙集超 250 億個惡意樣本，22 萬億安全日誌、80 億域名資訊、2EB 以上的安全大資料，結合首創的 360QVM 人工智慧引擎，實現人機協同大資料智慧分析，打造預判、阻斷、溯源、止損及反制多位一體的安全防禦解決方案。

可查資料顯示，具備大規模綜合智慧處置能力的的360安全大腦，最快可在1天內實現漏洞補丁、免疫工具、安全策略和威脅情報推送，有效保障了Win7盾甲漏洞防禦及修復實時性。同時，包括Darkhotel(APT-C-06)在內，360安全大腦已發現41起針對我國發起的境外APT攻擊，可幫助政企客戶有效應對各類APT攻擊，提升整體防禦能力。Windows 7盾甲企業版內建高階威脅發現功能，結合360安全大腦雲端知識庫，可幫助使用者及時發現高階威脅攻擊的蹤跡，並建立全面的防禦體系。

（2）360安全大腦-專家雲1對1服務

針對此次Windows 7停服事件相關需求，企事業單位的網路管理員可聯絡360安全大腦安服團隊進行1對1服務。

座機 ：(010) 5244 7992

應急 ：yingji@360.cn

360安全大腦Windows 7盾甲企業版安服人員：李雲鵬 liyunpeng3@360.cn

（3）應急措施：

限制對JScript.dll的訪問，可暫時規避該安全風險，但可能導致網站無法正常瀏覽。

對於32位系統，在管理命令提示符處輸入以下命令：

takeown /f %windir%\\system32\\jscript\.dll

cacls %windir%\\system32\\jscript\.dll /E /P everyone:N

對於64位系統，在管理命令提示符處輸入以下命令：

takeown /f %windir%\\syswow64\\jscript\.dll

cacls %windir%\\syswow64\\jscript\.dll /E /P everyone:N

takeown /f %windir%\\system32\\jscript\.dll

cacls %windir%\\system32\\jscript\.dll /E /P everyone:N

實施這些步驟可能會導致依賴jscript.dll的元件功能減少。為了得到完全保護，建議儘快安裝此更新。在 安裝更新 之前， 請還原緩解步驟以返回到完整狀態。

如何撤消臨時措施

對於32位系統，在管理命令提示符處輸入以下命令：

cacls %windir%\\system32\\jscript\.dll /E /R everyone  

對於64位系統，在管理命令提示符處輸入以下命令：

cacls %windir%\\system32\\jscript\.dll /E /R everyone   

cacls %windir%\\syswow64\\jscript\.dll /E /R everyone