189 8069 5689

JScript脚本引擎如何远程代码执行漏洞通告

这期内容当中小编将会给大家带来有关JScript脚本引擎如何远程代码执行漏洞通告,文章内容丰富且以专业的角度为大家分析和叙述,阅读完这篇文章希望大家可以有所收获。

创新互联建站专注于企业全网营销推广、网站重做改版、红桥网站定制设计、自适应品牌网站建设、H5建站商城网站建设、集团公司官网建设、成都外贸网站制作、高端网站制作、响应式网页设计等建站业务,价格优惠性价比高,为红桥等各大城市提供网站开发制作服务。

文档信息

编号QiAnXinTI-SV-2019-0022
关键字IE JScript RCE 远程命令执行CVE-2019-1367
发布日期2019年09月24日
更新日期2019年09月25日
TLPWHITE
分析团队奇安信威胁情报中心红雨滴安全研究团队

通告背景

2019年9月23日,微软紧急官方发布安全更新,修复了一个存在于Windows平台的Internet Explorer 9/10/11 版本中的远程代码执行漏洞,由Google威胁分析小组的安全研究员ClémentLecigne发现此漏洞。攻击者可能利用此漏洞通过诱使用户访问恶意网页触发漏洞从而获得对用户系统的控制。

JScript脚本引擎如何远程代码执行漏洞通告

从微软的描述上看,该漏洞已经存在野外利用。

JScript脚本引擎如何远程代码执行漏洞通告

目前微软已经对此漏洞发布了专门的例行外补丁和通告,相关的技术细节已通知安全合作伙伴,奇安信威胁情报中心确认漏洞的存在,强烈建议用户更新软件补丁以抵御此威胁的影响。

从不同处的情报维度表明,无论是该漏洞的发现者默认转推的一条对该漏洞的归因到Darkhotel APT组织的推文;

JScript脚本引擎如何远程代码执行漏洞通告

还是卡巴斯基高级威胁研究团队GReAT负责人的推文,都表明该在野0day漏洞被DarkHotel组织利用来攻击的可能性极高。

JScript脚本引擎如何远程代码执行漏洞通告

因此奇安信威胁情报中心在得知此次事件后,进行研判得到结果表明,在实施针对性目标攻击打击的各国网军中,DarkHotel为其中一个尤爱使用0day漏洞进行攻击的APT组织,从此前的vbscript 0day CVE-2018-8174,CVE-2018-8373等,可明确该组织会针对目标,购买或制作定制化的网络漏洞武器,此漏洞暴露需要引起重视,尤其是重点单位。

DarkHotel,据开源情报是一个来自韩国的APT组织,其起初攻击目标是入住高端酒店的商务人士或有关国家政要,攻击入口是酒店WiFi网络。而如今,Darkhotel已经使用各种方式对目标进行持续性攻击至今,目标涉及中国、俄罗斯、朝鲜、日本等,是一个具备高强战力的APT组织。

漏洞概要

漏洞名称微软 IE脚本引擎远程代码执行漏洞



威胁类型远程代码执行威胁等级严重漏洞IDCVE-2019-1367
利用场景攻击者可能会通过欺骗未修补的IE版本的用户访问恶意制作的网页,触发内存损坏漏洞获取任意代码执行从而控制用户系统。
受影响系统及应用版本
影响下列windows 操作系统 Internet Explorer 11 版本 Windows 10 Windows 8.1 Windows 7 Windows Server 2012/R2 Windows Server 2008 Windows Server 2016 Windows Server 2019 仅影响Windows Server 2012 IE 10 仅影响Windows Server 2008 SP2 IE 9

漏洞描述

该漏洞存在于IE 中的脚本引擎jscript.dll中,该脚本引擎在处理内存对象的过程中,触发漏洞后会造成内存损坏,从而可以造成远程代码执行漏洞。

攻击者可能会通过欺骗未修补的IE版本的用户访问恶意制作的网页或者网站,成功触发漏洞后便可获得与当前用户相同的用户权限,攻击者可以安装恶意程序,增加、删除、更改或查看数据。

影响面评估

根据百度浏览器市场份额数据显示,IE 11目前市场占比大约为7.26%,该数据量级结合中国网民基数实际上很是惊人。

JScript脚本引擎如何远程代码执行漏洞通告

对于国内而言,在大部分的政企单位内网,很多人员依然使用着IE,仅仅因为办公系统兼容性不够,并且还使用jscript作为脚本引擎的网站。

处置建议

更新系统补丁:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1367

缓解措施

限制对JScript.dll的访问

对于32位系统,在管理命令提示符处输入以下命令:

takeown /f %windir%\system32\jscript.dllcacls %windir%\system32\jscript.dll /E /Peveryone:N

对于64位系统,在管理命令提示符处输入以下命令:

takeown /f %windir%\syswow64\jscript.dllcacls %windir%\syswow64\jscript.dll /E /Peveryone:Ntakeown /f %windir%\system32\jscript.dllcacls %windir%\system32\jscript.dll /E /Peveryone:N

实施这些步骤可能会导致依赖jscript.dll的组件功能减少。为了得到完全保护,建议尽快安装此更新。在安装更新之前,请还原缓解步骤,以返回到完整状态。

如何撤消临时措施

对于32位系统,在管理命令提示符处输入以下命令:

cacls %windir%\system32\jscript.dll /E /Reveryone

对于64位系统,在管理命令提示符处输入以下命令:

cacls %windir%\system32\jscript.dll /E /Reveryonecacls %windir%\syswow64\jscript.dll /E /Reveryone

上述就是小编为大家分享的JScript脚本引擎如何远程代码执行漏洞通告了,如果刚好有类似的疑惑,不妨参照上述分析进行理解。如果想知道更多相关知识,欢迎关注创新互联行业资讯频道。


网页标题:JScript脚本引擎如何远程代码执行漏洞通告
链接URL:http://cdxtjz.com/article/ipjsgi.html

其他资讯