最近,微軟有點活躍。
雷鋒網消息,1 月 17 日,微軟發布安全公告( ADV200001 )稱,一個 IE 0day ( CVE-2020-0674 ) 已遭利用,而且暫無補丁,僅有應變措施和緩解措施。微軟表示正在推出解決方案,將在後續發布。
微軟表示該 IE 0day 已遭在野利用,並且指出這些利用只發生在「有限的目標攻擊中」,該 0day 並未遭大規模利用,而只是針對少量用戶攻擊的一部分。這些有限的 IE 0day 攻擊被指是更大規模的黑客活動的一部分,其中牽涉了針對火狐用戶的攻擊。
漏洞詳情
根據公告,微軟將該 IE 0day 漏洞描述為遠程代碼執行漏洞 ( RCE ),是由負責處理 JavaScript 代碼的瀏覽器組件 IE 腳本引擎中的內存損壞漏洞引發的。
微軟對該 0day 的描述為:腳本引擎處理 IE 內存對象的方式中存在一個遠程代碼執行漏洞。該漏洞可損壞內存,導致攻擊者以當前用戶的上下文執行任意代碼。成功利用該漏洞的攻擊者可獲得和當前用戶同樣的用戶權限。如果當前用戶以管理員用戶權限登錄,則成功利用該漏洞的攻擊者能夠控制受影響系統。之後攻擊者能夠安裝程序;查看、更改或刪除數據;或者以完整的用戶權限創建新帳戶。
在基於 web 的攻擊場景中,攻擊者能夠託管特別構造的可通過 IE 瀏覽器利用該漏洞的網站,之後說服用戶查看該網站,比如通過發送郵件的方式查看網站。比如,發送電子郵件。
解決辦法
在默認情況下,Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016 和 Windows Server 2019 以「增強的安全配置」受限制模式運行。「增強的安全配置」模式是IE的一組預配置設置,可降低用戶或管理員下載並在伺服器上運行特殊構造的 web 內容的可能性。它是針對尚未被加入「IE可信」站點區域的網站的一個緩解因素。
應變措施
限制對 JScript.dll 的訪問權限。
對於32位系統,在管理員命令提示符中輸入如下命令:
takeown /f %windir%\system32\jscript.dll
cacls %windir%\system32\jscript.dll /E /P everyone:N
對於64位系統,在管理員命令提示符中輸入如下命令:
takeown /f %windir%\syswow64\jscript.dll
cacls %windir%\syswow64\jscript.dll /E /P everyone:N
takeown /f %windir%\system32\jscript.dll
cacls %windir%\system32\jscript.dll /E /P everyone:N
值得注意的是,微軟表示,應用該應變措施可能導致依賴 javascript.dl 的組件或特徵功能減少。因此微軟推薦儘快安裝更新實現完全防護。在安裝更新前需要還原緩解步驟以返回到完整狀態。
在默認情況下,IE11、IE10 和 IE9 用戶使用的是未受該漏洞影響的 Jscript9.dll。該漏洞僅影響使用 Jscript 腳本引擎的某些網站。
撤銷應變措施微軟還給出了撤銷應變措施的步驟:
對於32位系統,在管理員命令提示符中輸入如下命令:
cacls %windir%\system32\jscript.dll /E /R everyone
對於64位系統,在管理員命令提示符中輸入如下命令:
cacls %windir%\system32\jscript.dll /E /R everyone cacls %windir%\syswow64\jscript.dll /E /R everyone
微軟表示所有受支持的 Windows 桌面和 Server OS 版本均受影響。
所以,雷鋒網在這裡建議大家能更新的就及時更新吧。
參考來源:微軟官方公告