微软发布安全公告( ADV200001 )称,一个IE 0day ( CVE-2020-0674 )已遭利用,而且暂无补丁,仅有应变措施和缓解措施。微软表示正在推出解决方案,将在后续发布。
微软表示该IE 0day已遭利用,并且指出这些利用只发生在“有限的目标攻击中”,该0day并未遭大规模利用,而只是针对少量用户攻击的一部分。这些有限的IE 0day攻击被指是更大规模的黑客活动的一部分,其中牵涉了针对火狐用户的攻击。
漏洞详情根据公告,微软将该IE 0day漏洞描述为远程代码执行漏洞( RCE ),是由负责处理JavaScript代码的浏览器组件IE脚本引擎中的内存损坏漏洞引发的。
微软对该0day的描述为:脚本引擎处理IE内存对象的方式中存在一个远程代码执行漏洞。该漏洞可损坏内存,导致攻击者以当前用户的上下文执行任意代码。成功利用该漏洞的攻击者可获得和当前用户同样的用户权限。如果当前用户以管理员用户权限登录,则成功利用该漏洞的攻击者能够控制受影响系统。之后攻击者能够安装程序;查看、更改或删除数据;或者以完整的用户权限创建新账户。
在基于web的攻击场景中,攻击者能够托管特别构造的可通过IE浏览器利用该漏洞的网站,之后说服用户查看该网站,比如通过发送邮件的方式查看网站。比如,发送电子邮件。
解决办法在默认情况下,Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016和Windows Server 2019以“增强的安全配置”受限制模式运行。“增强的安全配置”模式是IE的一组预配置设置,可降低用户或管理员下载并在服务器上运行特殊构造的web内容的可能性。它是针对尚未被加入“IE可信”站点区域的网站的一个缓解因素。
应变措施限制对JScript.dll的访问权限。
对于32位系统,在管理员命令提示符中输入如下命令:
takeown /f %windir%system32jscript.dll
cacls %windir%system32jscript.dll /E /Peveryone:N
对于64位系统,在管理员命令提示符中输入如下命令:
takeown /f %windir%syswow64jscript.dll
cacls %windir%syswow64jscript.dll /E /P everyone:N
takeown /f %windir%system32jscript.dll
cacls %windir%system32jscript.dll /E /P everyone:N
值得注意的是,微软表示,应用该应变措施可能导致依赖javascript.dl的组件或特征功能减少。因此微软推荐尽快安装更新实现完全防护。在安装更新前需要还原缓解步骤以返回到完整状态。
在默认情况下,IE11、IE10和IE9用户使用的是未受该漏洞影响的Jscript9.dll。该漏洞仅影响使用Jscript脚本引擎的某些网站。
撤销应变措施微软还给出了撤销应变措施的步骤:
对于32位系统,在管理员命令提示符中输入如下命令:
cacls %windir%system32jscript.dll /E /R everyone
对于64位系统,在管理员命令提示符中输入如下命令:
cacls %windir%system32jscript.dll /E /R everyonecacls
%windir%syswow64jscript.dll /E /R everyone
微软表示所有受支持的Windows桌面和Server OS版本均受影响。
相关文章
微软发布Win10《季节艺术》免费主题包
01-19微软Win10 20H1(2004)更新预告
01-19微软Edge浏览器更符合Win10设计规范
01-19微软开源安全工具 Application Inspector
01-18微软Chromium版Edge浏览器如何通过Windows
01-18微软Windows 10快速预览版19546更新内容大
01-18微软推荐廉价Windows 10 ARM笔记本
01-18微软放出适用于ARM64的Edge Dev新版本
01-17微软 Edge 浏览器重生 但Web的未来已经掌握
01-17微软向Windows 10用户发布《夯土建筑》免费
01-17网友评论(共有 0 条评论)