安基网 首页 资讯 安全报 查看内容

微软IE浏览器JScript脚本引擎远程代码执行漏洞通告

2019-9-26 12:19| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 2019年9月23日,微软紧急官方发布安全更新,修复了一个存在于Windows平台的Internet Explorer 9/10/11 版本中的远程代码执行漏洞,由Google威胁分析小组的安全研究员ClémentLecigne发现此漏洞。攻击者可能利用此漏洞通过诱使用户访问恶意网页触发漏洞从而获得对用户系统的控制。

文档信息

编号

QiAnXinTI-SV-2019-0022

关键字

IE JScript RCE 远程命令执行CVE-2019-1367

发布日期

2019年09月24日

更新日期

2019年09月25日

TLP

WHITE

分析团队

奇安信威胁情报中心红雨滴安全研究团队

通告背景

2019年9月23日,微软紧急官方发布安全更新,修复了一个存在于Windows平台的Internet Explorer 9/10/11 版本中的远程代码执行漏洞,由Google威胁分析小组的安全研究员ClémentLecigne发现此漏洞。攻击者可能利用此漏洞通过诱使用户访问恶意网页触发漏洞从而获得对用户系统的控制。

从微软的描述上看,该漏洞已经存在野外利用。

目前微软已经对此漏洞发布了专门的例行外补丁和通告,相关的技术细节已通知安全合作伙伴,奇安信威胁情报中心确认漏洞的存在,强烈建议用户更新软件补丁以抵御此威胁的影响。

从不同处的情报维度表明,无论是该漏洞的发现者默认转推的一条对该漏洞的归因到Darkhotel APT组织的推文;

还是卡巴斯基高级威胁研究团队GReAT负责人的推文,都表明该在野0day漏洞被DarkHotel组织利用来攻击的可能性极高。

因此奇安信威胁情报中心在得知此次事件后,进行研判得到结果表明,在实施针对性目标攻击打击的各国网军中,DarkHotel为其中一个尤爱使用0day漏洞进行攻击的APT组织,从此前的vbscript 0day CVE-2018-8174,CVE-2018-8373等,可明确该组织会针对目标,购买或制作定制化的网络漏洞武器,此漏洞暴露需要引起重视,尤其是重点单位。

DarkHotel,维基百科指称是一个来自韩国的APT组织,其起初攻击目标是入住高端酒店的商务人士或有关国家政要,攻击入口是酒店WiFi网络。而如今,Darkhotel已经使用各种方式对目标进行持续性攻击至今,目标涉及中国、俄罗斯、朝鲜、日本等,是一个具备高强战力的APT组织。

漏洞概要

漏洞名称

微软 IE脚本引擎远程代码执行漏洞

威胁类型

远程代码执行

威胁等级

严重

漏洞ID

CVE-2019-1367

利用场景

攻击者可能会通过欺骗未修补的IE版本的用户访问恶意制作的网页,触发内存损坏漏洞获取任意代码执行从而控制用户系统。

受影响系统及应用版本

影响下列windows 操作系统 Internet Explorer 11 版本

Windows 10

Windows 8.1

Windows 7

Windows Server 2012/R2

Windows Server 2008

Windows Server 2016

Windows Server 2019

仅影响Windows Server 2012 IE 10

仅影响Windows Server 2008 SP2 IE 9

漏洞描述

该漏洞存在于IE 中的脚本引擎jscript.dll中,该脚本引擎在处理内存对象的过程中,触发漏洞后会造成内存损坏,从而可以造成远程代码执行漏洞。

攻击者可能会通过欺骗未修补的IE版本的用户访问恶意制作的网页或者网站,成功触发漏洞后便可获得与当前用户相同的用户权限,攻击者可以安装恶意程序,增加、删除、更改或查看数据。

影响面评估

根据百度浏览器市场份额数据显示,IE 11目前市场占比大约为7.26%,该数据量级结合中国网民基数实际上很是惊人。

对于国内而言,在大部分的政企单位内网,很多人员依然使用着IE,仅仅因为办公系统兼容性不够,并且还使用jscript作为脚本引擎的网站。

处置建议

更新系统补丁:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1367

缓解措施

限制对JScript.dll的访问

对于32位系统,在管理命令提示符处输入以下命令:

takeown /f %windir%system32jscript.dll

cacls %windir%system32jscript.dll /E /Peveryone:N

对于64位系统,在管理命令提示符处输入以下命令:

takeown /f %windir%syswow64jscript.dll

cacls %windir%syswow64jscript.dll /E /Peveryone:N

takeown /f %windir%system32jscript.dll

cacls %windir%system32jscript.dll /E /Peveryone:N

实施这些步骤可能会导致依赖jscript.dll的组件功能减少。为了得到完全保护,建议尽快安装此更新。安装更新之前,请还原缓解步骤以返回到完整状态。

如何撤消临时措施

对于32位系统,在管理命令提示符处输入以下命令:

cacls %windir%system32jscript.dll /E /Reveryone

对于64位系统,在管理命令提示符处输入以下命令:

cacls %windir%system32jscript.dll /E /Reveryone

cacls %windir%syswow64jscript.dll /E /R everyone

时间线

2019-09-23 微软发布安全公告并紧急推出修复补丁

2019-09-24 奇安信威胁情报中心评估影响面并发布风险提示

2019-09-25 奇安信威胁情报中心根据外部情报补充风险提示

参考资料

https://support.microsoft.com/en-us/help/4522007/cumulative-security-update-for-internet-explorer

https://en.wikipedia.org/wiki/DarkHotel



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6740536456399307276/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部