CVE-2020-0674: Internet Explorer远程代码执行漏洞PoC公开通告

阅读量    49212 |

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

 

0x01 漏洞背景

2020年01月17日 微软发布了针对Internet Explorer的风险提示。

Internet Explorer 是自从1995年开始,内置在各个新版本的Windows操作系统内的默认的浏览器,也是微软Windows操作系统的一个组成部分。

CVE-2020-0674该漏洞出现在Internet Explorer脚本引擎 JScript.dll 中。该组件存在一个远程代码执行漏洞。由Ella Yu from Qihoo 360/Clément Lecigne of Google’s Threat Analysis Group发现。

该漏洞可以使攻击者在当前用户环境中执行任意代码。利用此漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录,则可以完全控制受影响的系统。攻击者可以随意安装程序、查看/更改或删除数据、创建具有完全用户权限的新帐户。

2020年03月02日 360CERT 监测发现03月01日该漏洞PoC已经在 VT(Goolge样本平台)上进行公开,攻击者极易发起攻击,对用户资产构成直接的威胁

 

0x02 风险等级

360CERT对该漏洞情况再次进行评定

评定方式 等级
威胁等级 严重
影响面 广泛

由于PoC已经公开,同时浏览器作为用户的互联网入口,用户易被直接攻击。该漏洞的威胁等级/影响面都大幅上升。

360CERT建议广大用户及时更新 Windows 安全补丁。做好资产 自查/自检/预防 工作,以免遭受攻击。

 

0x03 漏洞详情

漏洞出现在JScript.dll中,IE中加载执行特定的 js 代码会触发此漏洞。攻击成本低,容易实施。

该漏洞已经可以被用于攻击利用,并且微软声明已发现存在在野利用。

建议广大用户及时按照修复建议中的内容进行修复。停用 JScript.dll,以免遭受该漏洞到攻击。

默认情况下

  • Windows Server 2008
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019

该系列系统的Internet Explorer以”增强安全配置”的受限模式运行。增强的安全配置是I​​nternet Explorer中的一组预设置,可以减少用户或管理员在服务器上下载并运行特制Web内容的可能性。对于尚未添加到“Internet Explorer可信站点”区域的网站,这是一个缓解措施。

但360CERT依旧建议您,及时按照修复建议中的内容进行修复。停用 JScript.dll,以免遭受该漏洞到攻击。

 

0x04 影响版本

产品 windows 版本
Internet Explorer 9 Windows Server 2008 x64/x32 sp2
Internet Explorer 10 Windows Server 2012
Internet Explorer 11 Windows 7 x64/x32 sp1
Internet Explorer 11 Windows 8.1 x64/x32
Internet Explorer 11 Windows RT 8.1
Internet Explorer 11 Windows 10 x64/x32
Internet Explorer 11 Windows 10 Version 1607 x64/x32
Internet Explorer 11 Windows 10 Version 1709 x64/x32/arm64
Internet Explorer 11 Windows 10 Version 1803 x64/x32/arm64
Internet Explorer 11 Windows 10 Version 1809 x64/x32/arm64
Internet Explorer 11 Windows 10 Version 1903 x64/x32/arm64
Internet Explorer 11 Windows 10 Version 1909 x64/x32/arm64
Internet Explorer 11 Windows Server 2008 R2 x64 sp1
Internet Explorer 11 Windows Server 2012
Internet Explorer 11 Windows Server 2012 R2
Internet Explorer 11 Windows Server 2016
Internet Explorer 11 Windows Server 2019

 

0x05 修复建议

微软已在二月更新补丁中修复次漏洞,建议尽快安装更新补丁。

无法及时更新的用户可以采取:

官方给出的措施是暂时完全停用 JScript.dll 以进行修复。

注:禁用 JScript.dll 会导致依赖 js 的页面无法正常工作,目前的互联网页面内容大部分都依赖于 js 进行渲染。 禁用可能会严重影响正常页面的显示。请自行斟酌和安排修复工作。

禁用JScript.dll

32位系统

takeown /f %windir%\system32\jscript.dll
cacls %windir%\system32\jscript.dll /E /P everyone:N

64位系统

takeown /f %windir%\syswow64\jscript.dll
cacls %windir%\syswow64\jscript.dll /E /P everyone:N
takeown /f %windir%\system32\jscript.dll
cacls %windir%\system32\jscript.dll /E /P everyone:N

撤销禁用JScript.dll

32位系统

cacls %windir%\system32\jscript.dll /E /R everyone    

64位系统

cacls %windir%\system32\jscript.dll /E /R everyone    
cacls %windir%\syswow64\jscript.dll /E /R everyone

 

0x06 产品侧解决方案

360安全卫士

针对该漏洞,windows用户可通过360安全卫士实现对应补丁安装,其他平台的用户可以根据修复建议列表中的产品更新版本对存在漏洞的产品进行更新。

Windows 7系统用户可以使用360 Win7盾甲产品阻止该漏洞攻击。

 

0x07 时间线

2020-01-17 微软发布漏洞预警

2020-01-20 360CERT发布预警

2020-03-02 360CERT监测发现PoC公开

2020-03-03 360CERT再次预警

 

0x08 参考链接

  1. ADV200001 | Microsoft Guidance on Scripting Engine Memory Corruption Vulnerability
  2. Darkhotel(APT-C-06)使用“双星”0Day漏洞(CVE-2019-17026、CVE-2020-0674)针对中国发起的APT攻击分析 – 360 核心安全技术博客
  3. CVE-2020-0674: Internet Explorer远程代码执行漏洞通告 – 360CERT
分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多