微软Internet Explorer浏览器Jscript.Dll组件远程代码执行漏洞
2019年09月23日,微软发布了针对 Internet Explorer浏览器组件 jscript.dll 的漏洞修复补丁,该漏洞由Google威胁分析小组的安全研究员ClémentLecigne发现,成功利用此漏洞会破坏内存,使攻击者能够执行任意代码,攻击者可能会利用这个漏洞通过挂马网站的形式传播恶意代码。
Internet Explorer,是微软公司推出的一款网页浏览器,jscript.dll 是工作在 IE 中的脚本引擎。据调查机构Netmarketshare的浏览器占有率调查显示[1],Internet Explorer的市场占有率为8.29%,综合其默认安装的特性和国内网民基数较大等原因,该漏洞的影响十分广泛。
图 Internet Explorer市场占有率
漏洞描述
漏洞编号:CVE-2019-1367
脚本引擎jscript.dll在处理内存对象的过程中,会触发内存损坏的漏洞,攻击者可能会通过电子邮件等方式说服或诱骗用户打开一个精心设计网页,以此来利用该漏洞,利用成功则可以在当前用户权限下执行任意代码。如果当前用户使用管理用户权限登录,则攻击者可以控制受影响的系统,并可进行安装程序、查看、更改、删除数据等进一步操作。
受影响范围
受影响范围:
| IE 11 | Windows 7Windows 8.1Windows 10Windows Server 2012/R2Windows Server 2008Windows Server 2016Windows Server 2019 |
|---|---|
| IE 10 | Windows Server 2012 |
| IE 9 | Windows Server 2008 |
可能的攻击风险演化
1) 从威胁框架角度,这是一个从接触目标与进攻突防角度具有高风险的可利用漏洞,该漏洞曝光前可能被超级网空威胁行为体在类似QUANTUM系统中,用于对高价值目标打点,对此需要进一步的排查分析。
2) 被APT攻击组织和黑产组织在定向攻击中用于占坑攻击。
3) 黑产攻击组织在已攻陷网站中构造攻击页面,大规模传播恶意代码,进行勒索、挖矿等非法活动。
4) 在APT攻击组织和黑产团伙控制流量侧环节,或入侵防火墙等,可能用于实现类似QUANTUM注入。
手工修复及缓解建议
1、在32位操作系统中,可以通过以下命令限制对JScript.dll的访问:
takeown /f %windir%\system32\jscript.dll
cacls %windir%\system32\jscript.dll /E /P everyone:N
2、在64位操作系统中,可以通过以下命令限制对JScript.dll的访问:
takeown /f %windir%\syswow64\jscript.dll
cacls %windir%\syswow64\jscript.dll /E /P everyone:N
takeown /f %windir%\system32\jscript.dll
cacls %windir%\system32\jscript.dll /E /P everyone:N
3、安装漏洞补丁[2],或卸载受影响的浏览器。
4、将DEP配置从系统覆盖到全部应用,并将UAC设置等级调整到最高,可能有助于缓解本攻击影响。但需要进一步验证。
产品侧应用建议
1、安天智甲终端防御系统企业版支持全网统一的安全配置加固和补丁升级,智甲响应的配置模板策略和补丁库已经作出针对性升级。我们的智甲主防机制带有浏览器防护、内存防护等机制,可以在漏洞利用发生后,进行相关的风险拦截。与我们的资产安全运维系统组合使用,可以充分减少暴露面,改善网络信息系统的可管理性。
2、安天探海威胁检测系统可以对漏洞利用、样本投放和横向移动进行拦截。
图 安天智甲针对孤岛节点亦可导入升级包一键加固和修复漏洞
附录一:参考资料
[1] Market Share Statistics for Internet Technologies
[2] CVE-2019-1367 | Scripting Engine Memory Corruption Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1367
*本文作者,antiylab,转载请注明来自FreeBuf.COM
本文来源:SecYe安全网[http://www.secye.com] (责任编辑:SecYe安全)
- ·微软Internet Explorer浏览器Jscript.Dll
- ·CVE-2019-0708远程桌面代码执行漏洞复现
- ·Harbor任意管理员注册漏洞
- ·微软RDP远程代码执行漏洞(CVE-2019-0708
- ·有上传文件的文件名处发现的时间延迟注入
- ·Xstream远程代码执行漏洞
- ·文本编辑器VimNeovim被曝任意代码执行漏
- ·PHPCMS v9.6.0 wap模块SQL注入 | FreeBuf
- ·戴尔电脑自带系统软件SupportAssist存在R
- ·CatFish CMS V4.8.75最新版XSS漏洞审计
- ·Easy WP SMTP(v1.3.9)0 day漏洞被攻击
- ·Weblogic反序列化远程代码执行漏洞(CVE-
- ·【漏洞预警】Weblogic反序列化远程命令执
- ·ThinkPHP 5.1框架结合RCE漏洞的深入分析
- ·WordPress Core 5.0 - Remote Code Execu
- ·NetSetMan 4.7.1 - Local Buffer Overflo
- ·微软Internet Explorer浏览器Jscript.Dll组
- ·CVE-2019-0708远程桌面代码执行漏洞复现
- ·Harbor任意管理员注册漏洞
- ·微软RDP远程代码执行漏洞(CVE-2019-0708)
- ·有上传文件的文件名处发现的时间延迟注入漏
- ·Xstream远程代码执行漏洞
- ·文本编辑器VimNeovim被曝任意代码执行漏洞
- ·PHPCMS v9.6.0 wap模块SQL注入 | FreeBuf
- ·戴尔电脑自带系统软件SupportAssist存在RCE
- ·CatFish CMS V4.8.75最新版XSS漏洞审计
- ·Easy WP SMTP(v1.3.9)0 day漏洞被攻击的
- ·Weblogic反序列化远程代码执行漏洞(CVE-20
- ·【漏洞预警】Weblogic反序列化远程命令执行
- ·ThinkPHP 5.1框架结合RCE漏洞的深入分析
- ·WordPress Core 5.0 - Remote Code Executi
- ·Discuz! X系列远程代码执行漏洞分析
- ·Drupal 7.31 SQL注入漏洞(CVE-2014-3704)
- ·TRS 漏洞整理
- ·Discuz x1.5获取任意用户cookie
- ·dedecms最新版本修改任意管理员漏洞+getshe
- ·php LFI读php文件源码以及直接post webshel
- ·爱丽网子域名站SQL注射登录后台
- ·Oracle WebCenter CheckOutAndOpen.dll Act
- ·DedeCMS Dialog目录下配置文件XSS漏洞
- ·Mutiny 5 任意文件上传
- ·新浪家居某功能储存型xss
- ·韩国HOMPYNET CMS漏洞
- ·Nvidia显示驱动服务(nvvsvc.exe)权限提升漏
- ·Microsoft Internet Explorer 6/7/8 mshtml
- ·AspCms_v1.5_20110517 SQL注射漏洞及修复
- ·Discuz x1.5获取任意用户cookie
- ·dedecms最新版本修改任意管理员漏洞+getshe
- ·TRS 漏洞整理
- ·Drupal 7.31 SQL注入漏洞(CVE-2014-3704)
- ·新浪家居某功能储存型xss
- ·phpok通杀前台getshell 4.0.515官方demo测
- ·PHPCMS V9投稿操作权限绕过及修复
- ·dedecms某一处insert型注入
- ·小红伞 提权 0day Avira avipbb.sys Privil
- ·phpcms 2008 sp4 后台低权限拿shell(自身
- ·Mutiny 5 任意文件上传
- ·php LFI读php文件源码以及直接post webshel
- ·爱丽网移动站SQL注入漏洞
- ·爱丽网子域名站SQL注射登录后台
- ·Oracle WebCenter CheckOutAndOpen.dll Act