信息來源:4hou
1 概述
2019年09月23日���,微軟發(fā)布了針對 Internet Explorer瀏覽器組件 jscript.dll 的漏洞修復(fù)補(bǔ)丁���,該漏洞由Google威脅分析小組的安全研究員ClémentLecigne發(fā)現(xiàn),成功利用此漏洞會破壞內(nèi)存��,使攻擊者能夠執(zhí)行任意代碼���,攻擊者可能會利用這個(gè)漏洞通過掛馬網(wǎng)站的形式傳播惡意代碼����。
Internet Explorer����,是微軟公司推出的一款網(wǎng)頁瀏覽器,jscript.dll 是工作在 IE 中的腳本引擎���。據(jù)調(diào)查機(jī)構(gòu)Netmarketshare的瀏覽器占有率調(diào)查顯示[1]����,Internet Explorer的市場占有率為8.29%���,綜合其默認(rèn)安裝的特性和國內(nèi)網(wǎng)民基數(shù)較大等原因�,該漏洞的影響十分廣泛。
2 漏洞描述
漏洞編號:CVE-2019-1367
腳本引擎jscript.dll在處理內(nèi)存對象的過程中���,會觸發(fā)內(nèi)存損壞的漏洞�����,攻擊者可能會通過電子郵件等方式說服或誘騙用戶打開一個(gè)精心設(shè)計(jì)網(wǎng)頁�,以此來利用該漏洞�����,利用成功則可以在當(dāng)前用戶權(quán)限下執(zhí)行任意代碼���。如果當(dāng)前用戶使用管理用戶權(quán)限登錄,則攻擊者可以控制受影響的系統(tǒng)����,并可進(jìn)行安裝程序、查看�����、更改����、刪除數(shù)據(jù)等進(jìn)一步操作��。
3 受影響范圍
受影響范圍:
4 可能的攻擊風(fēng)險(xiǎn)演化
1) 從威脅框架角度���,這是一個(gè)從接觸目標(biāo)與進(jìn)攻突防角度具有高風(fēng)險(xiǎn)的可利用漏洞,該漏洞曝光前可能被超級網(wǎng)空威脅行為體在類似QUANTUM系統(tǒng)中�,用于對高價(jià)值目標(biāo)打點(diǎn),對此需要進(jìn)一步的排查分析���。
2) 被APT攻擊組織和黑產(chǎn)組織在定向攻擊中用于占坑攻擊����。
3) 黑產(chǎn)攻擊組織在已攻陷網(wǎng)站中構(gòu)造攻擊頁面����,大規(guī)模傳播惡意代碼,進(jìn)行勒索���、挖礦等非法活動��。
4) 在APT攻擊組織和黑產(chǎn)團(tuán)伙控制流量側(cè)環(huán)節(jié)��,或入侵防火墻等��,可能用于實(shí)現(xiàn)類似QUANTUM注入�����。
5 手工修復(fù)及緩解建議
1���、 在32位操作系統(tǒng)中�,可以通過以下命令限制對JScript.dll的訪問:
takeown /f %windir%\system32\jscript.dll
cacls %windir%\system32\jscript.dll /E /P everyone:N
2��、 在64位操作系統(tǒng)中�,可以通過以下命令限制對JScript.dll的訪問:
takeown /f %windir%\syswow64\jscript.dll
cacls %windir%\syswow64\jscript.dll /E /P everyone:N
takeown /f %windir%\system32\jscript.dll
cacls %windir%\system32\jscript.dll /E /P everyone:N
3、 安裝漏洞補(bǔ)丁[2]��,或卸載受影響的瀏覽器��。
4�、 將DEP配置從系統(tǒng)覆蓋到全部應(yīng)用��,并將UAC設(shè)置等級調(diào)整到最高��,可能有助于緩解本攻擊影響����。但需要進(jìn)一步驗(yàn)證。
附錄一:參考資料
[1] Market Share Statistics for Internet Technologies
https://www.netmarketshare.com
[2] CVE-2019-1367 | Scripting Engine Memory Corruption Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1367
