歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

微軟IE瀏覽器JScript腳本引擎遠程代碼執行漏洞通告

來源:本站整理 作者:佚名 時間:2019-10-07 TAG: 我要投稿

文檔信息
編號
QiAnXinTI-SV-2019-0022
關鍵字
IE JScript RCE 遠程命令執行CVE-2019-1367
發布日期
2019年09月24日
更新日期
2019年09月25日
TLP
WHITE
分析團隊
奇安信威脅情報中心紅雨滴安全研究團隊
通告背景
2019年9月23日,微軟緊急官方發布安全更新,修復了一個存在于Windows平臺的Internet Explorer 9/10/11 版本中的遠程代碼執行漏洞,由Google威脅分析小組的安全研究員ClémentLecigne發現此漏洞。攻擊者可能利用此漏洞通過誘使用戶訪問惡意網頁觸發漏洞從而獲得對用戶系統的控制。

從微軟的描述上看,該漏洞已經存在野外利用。

目前微軟已經對此漏洞發布了專門的例行外補丁和通告,相關的技術細節已通知安全合作伙伴,奇安信威脅情報中心確認漏洞的存在,強烈建議用戶更新軟件補丁以抵御此威脅的影響。
從不同處的情報維度表明,無論是該漏洞的發現者默認轉推的一條對該漏洞的歸因到Darkhotel APT組織的推文;

還是卡巴斯基高級威脅研究團隊GReAT負責人的推文,都表明該在野0day漏洞被DarkHotel組織利用來攻擊的可能性極高。

因此奇安信威脅情報中心在得知此次事件后,進行研判得到結果表明,在實施針對性目標攻擊打擊的各國網軍中,DarkHotel為其中一個尤愛使用0day漏洞進行攻擊的APT組織,從此前的vbscript 0day CVE-2018-8174,CVE-2018-8373等,可明確該組織會針對目標,購買或制作定制化的網絡漏洞武器,此漏洞暴露需要引起重視,尤其是重點單位。
DarkHotel,據開源情報是一個來自韓國的APT組織,其起初攻擊目標是入住高端酒店的商務人士或有關國家政要,攻擊入口是酒店WiFi網絡。而如今,Darkhotel已經使用各種方式對目標進行持續性攻擊至今,目標涉及中國、俄羅斯、朝鮮、日本等,是一個具備高強戰力的APT組織。
漏洞概要
漏洞名稱
微軟 IE腳本引擎遠程代碼執行漏洞
威脅類型
遠程代碼執行
威脅等級
嚴重
漏洞ID
CVE-2019-1367
利用場景
攻擊者可能會通過欺騙未修補的IE版本的用戶訪問惡意制作的網頁,觸發內存損壞漏洞獲取任意代碼執行從而控制用戶系統。
受影響系統及應用版本
影響下列windows 操作系統 Internet Explorer 11 版本 Windows 10 Windows 8.1 Windows 7 Windows Server 2012/R2 Windows Server 2008 Windows Server 2016 Windows Server 2019 僅影響Windows Server 2012 IE 10 僅影響Windows Server 2008 SP2 IE 9
漏洞描述
該漏洞存在于IE 中的腳本引擎jscript.dll中,該腳本引擎在處理內存對象的過程中,觸發漏洞后會造成內存損壞,從而可以造成遠程代碼執行漏洞。
攻擊者可能會通過欺騙未修補的IE版本的用戶訪問惡意制作的網頁或者網站,成功觸發漏洞后便可獲得與當前用戶相同的用戶權限,攻擊者可以安裝惡意程序,增加、刪除、更改或查看數據。
影響面評估
根據百度瀏覽器市場份額數據顯示,IE 11目前市場占比大約為7.26%,該數據量級結合中國網民基數實際上很是驚人。

對于國內而言,在大部分的政企單位內網,很多人員依然使用著IE,僅僅因為辦公系統兼容性不夠,并且還使用jscript作為腳本引擎的網站。
處置建議
更新系統補丁:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1367
緩解措施
限制對JScript.dll的訪問
對于32位系統,在管理命令提示符處輸入以下命令:
takeown /f %windir%\system32\jscript.dll
cacls %windir%\system32\jscript.dll /E /Peveryone:N
對于64位系統,在管理命令提示符處輸入以下命令:
takeown /f %windir%\syswow64\jscript.dll
cacls %windir%\syswow64\jscript.dll /E /Peveryone:N
takeown /f %windir%\system32\jscript.dll
cacls %windir%\system32\jscript.dll /E /Peveryone:N
實施這些步驟可能會導致依賴jscript.dll的組件功能減少。為了得到完全保護,建議盡快安裝此更新。在安裝更新之前,請還原緩解步驟,以返回到完整狀態。
如何撤消臨時措施
對于32位系統,在管理命令提示符處輸入以下命令:
cacls %windir%\system32\jscript.dll /E /Reveryone
對于64位系統,在管理命令提示符處輸入以下命令:
cacls %windir%\system32\jscript.dll /E /Reveryone
cacls %windir%\syswow64\jscript.dll /E /Reveryone
時間線
2019-09-23 微軟發布安全公告并緊急推出修復補丁
2019-09-24奇安信威脅情報中心評估影響面并發布風險提示
2019-09-25 奇安信威脅情報中心根據外部情報補充風險提示
參考資料
https://support.microsoft.com/en-us/help/4522007/cumulative-security-update-for-internet-explorer
 

【聲明】:黑吧安全網(http://www.gkrbnd.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        福彩原副主任