澳门新葡亰信誉平台游戏微软披露 IE 漏洞,攻击者可以控制受影响系统

by admin on 2020年3月12日

澳门新葡亰信誉平台游戏,Google 工程师发现 IE
中存在一个漏洞,攻击者可以通过漏洞完全控制受害操作系统。

最近,微软有点活跃。

周一,微软向用户警告广受欢迎的Internet
Explorer存在一个高危的漏洞,攻击者利用此漏洞可以接管你的计算机,进而在你的电脑安装和卸载程序,查看、更改或删除数据,甚至创建具有完全用户权限的新帐户。

澳门新葡亰信誉平台游戏 1

雷锋网消息,1 月 17 日,微软发布安全公告( ADV200001 )称,一个 IE 0day (
CVE-2020-0674 )
已遭利用,而且暂无补丁,仅有应变措施和缓解措施。微软表示正在推出解决方案,将在后续发布。

根据微软发布的安全公告,引发此漏洞的根本原因是脚本引擎在内存中处理对象的方式。具体来说就是,Internet
Explorer中的脚本引擎在内存中处理对象时存在一个远程代码执行漏洞,该漏洞以这种方式来破坏内存,然后攻击者可以在当前用户的上下文中执行任意代码。

据分析,这是一个脚本引擎内存损坏漏洞,影响所有受支持 Windows 上的
IE,包括
Windows 10 1809。该漏洞由 Google 威胁分析组的 Clement Lecigne
发现并报告给微软。微软表示,在被公开披露之前,该漏洞已经被利用。目前漏洞已经被收录为 CVE-2018-8653。

微软表示该 IE 0day
已遭在野利用,并且指出这些利用只发生在“有限的目标攻击中”,该 0day
并未遭大规模利用,而只是针对少量用户攻击的一部分。这些有限的 IE 0day
攻击被指是更大规模的黑客活动的一部分,其中牵涉了针对火狐用户的攻击。

成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限,如果当前用户使用管理员用户权限登录,则攻击者可以控制受影响的系统。然后攻击者会在你的电脑安装和卸载程序,查看、更改或删除数据,甚至创建具有完全用户权限的新帐户。

“脚本引擎处理 IE
内存对象的方式中存在一个远程执行代码漏洞,该漏洞让攻击者可以在当前用户的上下文中执行任意代码破坏内存。成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限”,微软解释:“如果当前用户使用管理用户权限登录,则成功利用此漏洞的攻击者可以控制受影响的系统。然后攻击者可以安装程序,查看、更改或删除数据,或创建具有完全用户权限的新帐户。”

漏洞详情

在基于Web的攻击场景中,攻击者可能拥有一个旨在通过Internet
Explorer利用此漏洞的特制网站,然后诱使用户查看该网站。

微软已经使用最新的 Windows 10 累积更新修复了该漏洞,并且还针对 Windows 7
和 Windows 8.1 发布了安全补丁 KB4483187。

根据公告,微软将该 IE 0day 漏洞描述为远程代码执行漏洞 ( RCE
),是由负责处理 JavaScript 代码的浏览器组件 IE
脚本引擎中的内存损坏漏洞引发的。

虽然微软已发布安全更新,并通过修改脚本引擎处理内存中对象的方式来解决此漏洞。但微软再次提醒用户放弃这款已被淘汰的浏览器。今年2月,微软的安全研究人员就已敦促用户停止使用IE作为默认浏览器。后来在四月份的时候,我们得知,即使仅在计算机上安装Internet
Explorer甚至不使用它都存在安全风险。

(文/开源中国)    

微软对该 0day 的描述为:脚本引擎处理 IE
内存对象的方式中存在一个远程代码执行漏洞。该漏洞可损坏内存,导致攻击者以当前用户的上下文执行任意代码。成功利用该漏洞的攻击者可获得和当前用户同样的用户权限。如果当前用户以管理员用户权限登录,则成功利用该漏洞的攻击者能够控制受影响系统。之后攻击者能够安装程序;查看、更改或删除数据;或者以完整的用户权限创建新账户。

在基于 web 的攻击场景中,攻击者能够托管特别构造的可通过 IE
浏览器利用该漏洞的网站,之后说服用户查看该网站,比如通过发送邮件的方式查看网站。比如,发送电子邮件。

解决办法

在默认情况下,Windows Server 2008、Windows Server 2008 R2、Windows
Server 2012、Windows Server 2012 R2、Windows Server 2016 和 Windows
Server 2019
以“增强的安全配置”受限制模式运行。“增强的安全配置”模式是IE的一组预配置设置,可降低用户或管理员下载并在服务器上运行特殊构造的
web
内容的可能性。它是针对尚未被加入“IE可信”站点区域的网站的一个缓解因素。

应变措施

限制对 JScript.dll 的访问权限。

对于32位系统,在管理员命令提示符中输入如下命令:

takeown /f %windir%system32jscript.dll

cacls %windir%system32jscript.dll /E /P everyone:N

对于64位系统,在管理员命令提示符中输入如下命令:

takeown /f %windir%syswow64jscript.dll

cacls %windir%syswow64jscript.dll /E /P everyone:N

takeown /f %windir%system32jscript.dll

cacls %windir%system32jscript.dll /E /P everyone:N

值得注意的是,微软表示,应用该应变措施可能导致依赖 javascript.dl
的组件或特征功能减少。因此微软推荐尽快安装更新实现完全防护。在安装更新前需要还原缓解步骤以返回到完整状态。

在默认情况下,IE11、IE10 和 IE9 用户使用的是未受该漏洞影响的
Jscript9.dll。该漏洞仅影响使用 Jscript 脚本引擎的某些网站。

撤销应变措施微软还给出了撤销应变措施的步骤:

对于32位系统,在管理员命令提示符中输入如下命令:

cacls %windir%system32jscript.dll /E /R everyone

对于64位系统,在管理员命令提示符中输入如下命令:

cacls %windir%system32jscript.dll /E /R everyone cacls
%windir%syswow64jscript.dll /E /R everyone

微软表示所有受支持的 Windows 桌面和 Server OS 版本均受影响。

所以,雷锋网在这里建议大家能更新的就及时更新吧。

参考来源:微软官方公告

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图