【风险提示】微软Internet Explorer浏览器jscript.dll 组件远程代码执行漏洞
2019年09月23日,微软发布了针对 Internet Explorer浏览器组件 jscript.dll 的漏洞修复补丁,该漏洞由Google威胁分析小组的安全研究员ClémentLecigne发现,成功利用此漏洞会破坏内存,使攻击者能够执行任意代码,攻击者可能会利用这个漏洞通过挂马网站的形式传播恶意代码。
Internet Explorer,是微软公司推出的一款网页浏览器,jscript.dll 是工作在 IE 中的脚本引擎。据调查机构Netmarketshare的浏览器占有率调查显示【1】,Internet Explorer的市场占有率为8.29%,综合其默认安装的特性和国内网民基数较大等原因,该漏洞的影响十分广泛。
图1 Internet Explorer市场占有率
1.漏洞描述
漏洞编号:CVE-2019-1367
2.受影响范围
表1 受影响范围
IE版本 | 受影响操作系统 |
IE 11 | Windows 7 Windows 8.1 Windows 10 Windows Server 2012/R2 Windows Server 2008 Windows Server 2016 Windows Server 2019 |
IE 10 | Windows Server 2012 |
IE 9 | Windows Server 2008 |
3.可能的攻击风险演化
●从威胁框架角度,这是一个从接触目标与进攻突防角度具有高风险的可利用漏洞,该漏洞曝光前可能被超级网空威胁行为体在类似QUANTUM系统中,用于对高价值目标打点,对此需要进一步的排查分析。
●被APT攻击组织和黑产组织在定向攻击中用于占坑攻击。
●黑产攻击组织在已攻陷网站中构造攻击页面,大规模传播恶意代码,进行勒索、挖矿等非法活动。
●在APT攻击组织和黑产团伙控制流量侧环节,或入侵防火墙等,可能用于实现类似QUANTUM注入。
4.手工修复及缓解建议
1.在32位操作系统中,可以通过以下命令限制对JScript.dll的访问:
takeown /f %windir%\system32\jscript.dll
cacls %windir%\system32\jscript.dll /E /P everyone:N
2.在64位操作系统中,可以通过以下命令限制对JScript.dll的访问:
takeown /f %windir%\syswow64\jscript.dll
cacls %windir%\syswow64\jscript.dll /E /P everyone:N
takeown /f %windir%\system32\jscript.dll
cacls %windir%\system32\jscript.dll /E /P everyone:N
3.安装漏洞补丁【2】,或卸载受影响的浏览器。
4.将DEP配置从系统覆盖到全部应用,并将UAC设置等级调整到最高,可能有助于缓解本攻击影响。但需要进一步验证。
5.产品侧应用建议
1.安天智甲终端防御系统企业版支持全网统一的安全配置加固和补丁升级,智甲响应的配置模板策略和补丁库已经作出针对性升级。安天智甲主防机制带有浏览器防护、内存防护等机制,可以在漏洞利用发生后,进行相关的风险拦截。与安天资产安全运维系统组合使用,可以充分减少暴露面,改善网络信息系统的可管理性。2.安天探海威胁检测系统可以对漏洞利用、样本投放和横向移动进行拦截。图2 安天智甲针对孤岛节点亦可导入升级包一键加固和修复漏洞
6.参考资料
[1]Market Share Statistics for Internet Technologies
https://www.netmarketshare.com
[2]CVE-2019-1367 | Scripting Engine Memory Corruption Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1367
●Windows远程代码执行漏洞(CVE-2019-0708)预警