這期內(nèi)容當(dāng)中小編將會(huì)給大家?guī)碛嘘P(guān)JScript腳本引擎如何遠(yuǎn)程代碼執(zhí)行漏洞通告���,文章內(nèi)容豐富且以專業(yè)的角度為大家分析和敘述�,閱讀完這篇文章希望大家可以有所收獲����。
創(chuàng)新互聯(lián)建站專注于企業(yè)全網(wǎng)營(yíng)銷推廣��、網(wǎng)站重做改版����、紅橋網(wǎng)站定制設(shè)計(jì)、自適應(yīng)品牌網(wǎng)站建設(shè)���、H5建站�、商城網(wǎng)站建設(shè)����、集團(tuán)公司官網(wǎng)建設(shè)�、成都外貿(mào)網(wǎng)站制作����、高端網(wǎng)站制作、響應(yīng)式網(wǎng)頁(yè)設(shè)計(jì)等建站業(yè)務(wù)���,價(jià)格優(yōu)惠性價(jià)比高�,為紅橋等各大城市提供網(wǎng)站開發(fā)制作服務(wù)����。
文檔信息
| 編號(hào) | QiAnXinTI-SV-2019-0022 | | 關(guān)鍵字 | IE JScript RCE 遠(yuǎn)程命令執(zhí)行CVE-2019-1367 |
| 發(fā)布日期 | 2019年09月24日 |
| 更新日期 | 2019年09月25日 |
| TLP | WHITE |
| 分析團(tuán)隊(duì) | 奇安信威脅情報(bào)中心紅雨滴安全研究團(tuán)隊(duì) |
通告背景
2019年9月23日,微軟緊急官方發(fā)布安全更新����,修復(fù)了一個(gè)存在于Windows平臺(tái)的Internet Explorer 9/10/11 版本中的遠(yuǎn)程代碼執(zhí)行漏洞,由Google威脅分析小組的安全研究員ClémentLecigne發(fā)現(xiàn)此漏洞����。攻擊者可能利用此漏洞通過誘使用戶訪問惡意網(wǎng)頁(yè)觸發(fā)漏洞從而獲得對(duì)用戶系統(tǒng)的控制。
從微軟的描述上看���,該漏洞已經(jīng)存在野外利用�。
目前微軟已經(jīng)對(duì)此漏洞發(fā)布了專門的例行外補(bǔ)丁和通告,相關(guān)的技術(shù)細(xì)節(jié)已通知安全合作伙伴���,奇安信威脅情報(bào)中心確認(rèn)漏洞的存在��,強(qiáng)烈建議用戶更新軟件補(bǔ)丁以抵御此威脅的影響�。
從不同處的情報(bào)維度表明��,無論是該漏洞的發(fā)現(xiàn)者默認(rèn)轉(zhuǎn)推的一條對(duì)該漏洞的歸因到Darkhotel APT組織的推文�;
還是卡巴斯基高級(jí)威脅研究團(tuán)隊(duì)GReAT負(fù)責(zé)人的推文,都表明該在野0day漏洞被DarkHotel組織利用來攻擊的可能性極高����。
因此奇安信威脅情報(bào)中心在得知此次事件后,進(jìn)行研判得到結(jié)果表明�,在實(shí)施針對(duì)性目標(biāo)攻擊打擊的各國(guó)網(wǎng)軍中���,DarkHotel為其中一個(gè)尤愛使用0day漏洞進(jìn)行攻擊的APT組織��,從此前的vbscript 0day CVE-2018-8174���,CVE-2018-8373等,可明確該組織會(huì)針對(duì)目標(biāo)�,購(gòu)買或制作定制化的網(wǎng)絡(luò)漏洞武器���,此漏洞暴露需要引起重視,尤其是重點(diǎn)單位�����。
DarkHotel�,據(jù)開源情報(bào)是一個(gè)來自韓國(guó)的APT組織,其起初攻擊目標(biāo)是入住高端酒店的商務(wù)人士或有關(guān)國(guó)家政要���,攻擊入口是酒店WiFi網(wǎng)絡(luò)�����。而如今��,Darkhotel已經(jīng)使用各種方式對(duì)目標(biāo)進(jìn)行持續(xù)性攻擊至今�����,目標(biāo)涉及中國(guó)�、俄羅斯��、朝鮮���、日本等�����,是一個(gè)具備高強(qiáng)戰(zhàn)力的APT組織�����。
漏洞概要
| 漏洞名稱 | 微軟 IE腳本引擎遠(yuǎn)程代碼執(zhí)行漏洞 |
|
|
|
| | 威脅類型 | 遠(yuǎn)程代碼執(zhí)行 | 威脅等級(jí) | 嚴(yán)重 | 漏洞ID | CVE-2019-1367 |
| 利用場(chǎng)景 | 攻擊者可能會(huì)通過欺騙未修補(bǔ)的IE版本的用戶訪問惡意制作的網(wǎng)頁(yè)����,觸發(fā)內(nèi)存損壞漏洞獲取任意代碼執(zhí)行從而控制用戶系統(tǒng)。 |
| 受影響系統(tǒng)及應(yīng)用版本 |
| 影響下列windows 操作系統(tǒng) Internet Explorer 11 版本 Windows 10 Windows 8.1 Windows 7 Windows Server 2012/R2 Windows Server 2008 Windows Server 2016 Windows Server 2019 僅影響Windows Server 2012 IE 10 僅影響Windows Server 2008 SP2 IE 9 |
漏洞描述
該漏洞存在于IE 中的腳本引擎jscript.dll中���,該腳本引擎在處理內(nèi)存對(duì)象的過程中����,觸發(fā)漏洞后會(huì)造成內(nèi)存損壞����,從而可以造成遠(yuǎn)程代碼執(zhí)行漏洞�。
攻擊者可能會(huì)通過欺騙未修補(bǔ)的IE版本的用戶訪問惡意制作的網(wǎng)頁(yè)或者網(wǎng)站,成功觸發(fā)漏洞后便可獲得與當(dāng)前用戶相同的用戶權(quán)限�����,攻擊者可以安裝惡意程序,增加���、刪除���、更改或查看數(shù)據(jù)。
影響面評(píng)估
根據(jù)百度瀏覽器市場(chǎng)份額數(shù)據(jù)顯示����,IE 11目前市場(chǎng)占比大約為7.26%,該數(shù)據(jù)量級(jí)結(jié)合中國(guó)網(wǎng)民基數(shù)實(shí)際上很是驚人�����。
對(duì)于國(guó)內(nèi)而言����,在大部分的政企單位內(nèi)網(wǎng),很多人員依然使用著IE���,僅僅因?yàn)檗k公系統(tǒng)兼容性不夠�,并且還使用jscript作為腳本引擎的網(wǎng)站����。
處置建議
更新系統(tǒng)補(bǔ)?����。?/p>
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1367
緩解措施
限制對(duì)JScript.dll的訪問
對(duì)于32位系統(tǒng)�,在管理命令提示符處輸入以下命令:
takeown /f %windir%\system32\jscript.dllcacls %windir%\system32\jscript.dll /E /Peveryone:N
對(duì)于64位系統(tǒng)�����,在管理命令提示符處輸入以下命令:
takeown /f %windir%\syswow64\jscript.dllcacls %windir%\syswow64\jscript.dll /E /Peveryone:Ntakeown /f %windir%\system32\jscript.dllcacls %windir%\system32\jscript.dll /E /Peveryone:N
實(shí)施這些步驟可能會(huì)導(dǎo)致依賴jscript.dll的組件功能減少�。為了得到完全保護(hù),建議盡快安裝此更新����。在安裝更新之前,請(qǐng)還原緩解步驟���,以返回到完整狀態(tài)�����。
如何撤消臨時(shí)措施
對(duì)于32位系統(tǒng)����,在管理命令提示符處輸入以下命令:
cacls %windir%\system32\jscript.dll /E /Reveryone
對(duì)于64位系統(tǒng)���,在管理命令提示符處輸入以下命令:
cacls %windir%\system32\jscript.dll /E /Reveryonecacls %windir%\syswow64\jscript.dll /E /Reveryone
上述就是小編為大家分享的JScript腳本引擎如何遠(yuǎn)程代碼執(zhí)行漏洞通告了�,如果剛好有類似的疑惑�,不妨參照上述分析進(jìn)行理解。如果想知道更多相關(guān)知識(shí)���,歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道����。
網(wǎng)站欄目:JScript腳本引擎如何遠(yuǎn)程代碼執(zhí)行漏洞通告
網(wǎng)頁(yè)鏈接:
http://weahome.cn/article/ipjsgi.html
重慶分公司
重慶分公司
