2020年1月14日,Win7正式宣告停服,自此微軟官方將不再對Win7系統進行任何問題的技術支援、軟體更新,以及安全更新或修復。在此之際,360安全大腦在全球範圍內率先監測到一起利用IE瀏覽器指令碼引擎0day漏洞的APT攻擊。
據360安全專家解讀,利用該漏洞,攻擊者可誘使使用者訪問惡意網頁,觸發該漏洞後可以直接獲得對使用者系統的控制,產生的影響不亞於此前WannaCry勒索病毒帶來的傷害。此漏洞波及範圍不僅影響所有微軟使用者,政府、企業使用者更將成為首要攻擊目標。
針對此問題,360獨家推出360安全大腦Windows 7盾甲企業版,支援Windows全平臺已知漏洞的補丁修復,針對突發性高位漏洞可透過先行自動覆蓋漏洞,解決防護能力滯後問題,全天候守護PC安全。360建議廣大政府、企業Win7系統使用者聯絡360安全團隊獲取幫助,以抵禦新型IE瀏覽器0day漏洞威脅,並於1月15日官方釋出《360安全大腦關於微軟Win7系統IE遠端執行漏洞利用的告客戶書》,原文如下:
(一)通告背景
2020年1月,360安全大腦在Win7停服之際,在全球範圍內率先監測到一起利用IE瀏覽器指令碼引擎0day漏洞的APT攻擊。利用該漏洞,攻擊者可誘使使用者訪問惡意網頁,觸發該漏洞後可以直接獲得對使用者系統的控制。 在捕獲到該IE瀏覽器0day漏洞攻擊的第一時間,360安全大腦對漏洞利用背後的APT組織進行追蹤與溯源分析。目前,從已捕獲攻擊細節及特徵初步判定,此次IE瀏覽器0day漏洞攻擊疑似出自半島的APT組織Darkhotel(APT-C-06)之手。 Darkhotel(APT-C-06) 是一個活躍近十餘年的東亞背景APT組織,相關攻擊行動最早可以追溯到2007年,而此次截獲的IE瀏覽器0day漏洞攻擊,也並非是360安全大腦第一捕獲該組織動向。
2018年4月,360安全大腦就曾在全球範圍內,率先監控到了該組織使用0day漏洞進行APT攻擊。而從360安全大腦溯源分析報告來看,該APT組織長期目標涉及中、俄、日等國政府及組織機構或企業單位,尤其針對中國重點省份外貿企業單位和相關機構展開攻擊,更是由來已久。 在捕獲到該IE瀏覽器0day漏洞後,360安全團隊已第一時間向微軟官方提交了詳細漏洞報告,目前微軟官方已經在跟進。 但是,必須一提的是,由於2020年1月14日起,Win7正式宣告停服,微軟官方將不再對Win7系統進行任何問題的技術支援、軟體更新,以及安全更新或修復,這意味著該IE瀏覽器0day漏洞修復補丁將不再次覆蓋Win7系統,換言之,所有Win7使用者將悉數暴露在該漏洞的陰霾之下。 對此,360安全團隊建議廣大使用者及時更新軟體補丁,Win7系統使用者則儘快下載安裝360安全大腦Windows 7盾甲企業版抵禦新型IE瀏覽器0day漏洞威脅。
(二)文件資訊
(三)漏洞概要
(四)漏洞描述
該漏洞存在於IE 中的指令碼引擎jscript.dll中,該指令碼引擎在處理記憶體物件的過程中,觸發漏洞後會造成記憶體損壞,從而可以造成遠端程式碼執行漏洞。
360安全大腦已完整捕獲攻擊過程,發現攻擊者的在野利用將該漏洞嵌入在Office文件中,使用者開啟Office文件或瀏覽網頁都會中招。而近年來,使用者量龐大、看似安全無害Office文件已逐漸成為APT攻擊最青睞的載體。
一旦使用者開啟搭載了該漏洞的惡意文件,將會瀏覽惡意網頁並執行攻擊程式,使用者甚至還未感知得到,裝置就已經被控制,攻擊者可趁機進行植入勒索病毒、監聽監控、竊取敏感資訊等任意操作。
(五)影響面評估
根據資料顯示, 直至2019年10月底,國內Windows 7系統的市場份額佔比仍有近6成,而對於國內而言,存在數量驚人的政府、軍隊、企業、個人在內的 PC使用者依然使用著Win7系統。
而Windows 7的終結,意味著數以億計的使用者失去了微軟官方的所有支援,包括軟體更新、補丁修復和防火牆保障,將直面該漏洞利用進行的攻擊,並會完全暴露在安全威脅之下。
考慮到APT組織Darkhotel(APT-C-06)長期以政府組織、企業為目標的特性,IE瀏覽器0day遠端執行漏洞影響所有微軟系統的特點,已經受影響版本中Win7系統已停服的三方面現實因素,此次IE瀏覽器0day漏洞波及範圍不僅影響所有微軟使用者,政府、企業使用者更將成為首要目標。
(六)解決方案
(1)360安全大腦Windows 7盾甲企業版
一面是APT高危漏洞攻擊,一面是Win7系統停服,政企使用者安全將何去何從?對此,廣大政企使用者可聯絡360公司獲取360安全大腦Windows 7盾甲企業版。
聯絡方式如下:
聯絡人:劉寧
電話:(010)52447992
(010) 5781360
郵箱:liyunpeng3@360.cn
該版本一鍵管理全網終端,支援Windows全平臺已知漏洞的補丁修復,結合針對漏洞威脅全新推出的360微補丁功能,在面對“雙星”0day漏洞等突發性高危漏洞時,360微補丁可透過先行自動覆蓋漏洞,解決防護能力滯後問題,全天候守護PC安全。
360安全大腦作為360公司重磅打造的網路安全防禦雷達系統,彙集超 250 億個惡意樣本,22 萬億安全日誌、80 億域名資訊、2EB 以上的安全大資料,結合首創的 360QVM 人工智慧引擎,實現人機協同大資料智慧分析,打造預判、阻斷、溯源、止損及反制多位一體的安全防禦解決方案。
可查資料顯示,具備大規模綜合智慧處置能力的的360安全大腦,最快可在1天內實現漏洞補丁、免疫工具、安全策略和威脅情報推送,有效保障了Win7盾甲漏洞防禦及修復實時性。同時,包括Darkhotel(APT-C-06)在內,360安全大腦已發現41起針對我國發起的境外APT攻擊,可幫助政企客戶有效應對各類APT攻擊,提升整體防禦能力。Windows 7盾甲企業版內建高階威脅發現功能,結合360安全大腦雲端知識庫,可幫助使用者及時發現高階威脅攻擊的蹤跡,並建立全面的防禦體系。
(2)360安全大腦-專家雲1對1服務
針對此次Windows 7停服事件相關需求,企事業單位的網路管理員可聯絡360安全大腦安服團隊進行1對1服務。
座機 :(010) 5244 7992
應急 :yingji@360.cn
360安全大腦Windows 7盾甲企業版安服人員:李雲鵬 liyunpeng3@360.cn
(3)應急措施:
限制對JScript.dll的訪問,可暫時規避該安全風險,但可能導致網站無法正常瀏覽。
對於32位系統,在管理命令提示符處輸入以下命令:
takeown /f %windir%\\system32\\jscript\.dll
cacls %windir%\\system32\\jscript\.dll /E /P everyone:N
對於64位系統,在管理命令提示符處輸入以下命令:
takeown /f %windir%\\syswow64\\jscript\.dll
cacls %windir%\\syswow64\\jscript\.dll /E /P everyone:N
takeown /f %windir%\\system32\\jscript\.dll
cacls %windir%\\system32\\jscript\.dll /E /P everyone:N
實施這些步驟可能會導致依賴jscript.dll的元件功能減少。為了得到完全保護,建議儘快安裝此更新。在 安裝更新 之前, 請還原緩解步驟以返回到完整狀態。
如何撤消臨時措施
對於32位系統,在管理命令提示符處輸入以下命令:
cacls %windir%\\system32\\jscript\.dll /E /R everyone
對於64位系統,在管理命令提示符處輸入以下命令:
cacls %windir%\\system32\\jscript\.dll /E /R everyone
cacls %windir%\\syswow64\\jscript\.dll /E /R everyone