CVE-2020-0674: Internet Explorer远程代码执行漏洞通告
2020-01-20 11:27

报告编号:B6-2020-012001

报告来源:360-CERT

报告作者:360-CERT

更新日期:2020-01-20

0x00 漏洞背景

2020年01月17日 微软发布了针对Internet Explorer的风险提示。

Internet Explorer 是自从1995年开始,内置在各个新版本的Windows操作系统内的默认的浏览器,也是微软Windows操作系统的一个组成部分。

CVE-2020-0674该漏洞出现在Internet Explorer脚本引擎 JScript.dll 中。该组件存在一个远程代码执行漏洞。由Ella Yu from Qihoo 360/Clément Lecigne of Google’s Threat Analysis Group发现。

该漏洞可以使攻击者在当前用户环境中执行任意代码。利用此漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录,则可以完全控制受影响的系统。攻击者可以随意安装程序、查看/更改或删除数据、创建具有完全用户权限的新帐户。

0x01 漏洞详情

漏洞出现在JScript.dll中,IE中加载执行特定的 js 代码会触发此漏洞。攻击成本低,容易实施。

该漏洞已经可以被用于攻击利用,并且微软声明已发现存在在野利用。

360CERT判断该漏洞等级为严重。

建议广大用户及时按照修复建议中的内容进行修复。停用 JScript.dll,以免遭受该漏洞到攻击。

默认情况下

  • Windows Server 2008
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019

该系列系统的Internet Explorer以"增强安全配置"的受限模式运行。增强的安全配置是I​​nternet Explorer中的一组预设置,可以减少用户或管理员在服务器上下载并运行特制Web内容的可能性。对于尚未添加到“Internet Explorer可信站点”区域的网站,这是一个缓解措施。

但360CERT依旧建议您,及时按照修复建议中的内容进行修复。停用 JScript.dll,以免遭受该漏洞到攻击。

0x02 影响版本

产品 windows 版本
Internet Explorer 9 Windows Server 2008 x64/x32 sp2
Internet Explorer 10 Windows Server 2012
Internet Explorer 11 Windows 7 x64/x32 sp1
Internet Explorer 11 Windows 8.1 x64/x32
Internet Explorer 11 Windows RT 8.1
Internet Explorer 11 Windows 10 x64/x32
Internet Explorer 11 Windows 10 Version 1607 x64/x32
Internet Explorer 11 Windows 10 Version 1709 x64/x32/arm64
Internet Explorer 11 Windows 10 Version 1803 x64/x32/arm64
Internet Explorer 11 Windows 10 Version 1809 x64/x32/arm64
Internet Explorer 11 Windows 10 Version 1903 x64/x32/arm64
Internet Explorer 11 Windows 10 Version 1909 x64/x32/arm64
Internet Explorer 11 Windows Server 2008 R2 x64 sp1
Internet Explorer 11 Windows Server 2012
Internet Explorer 11 Windows Server 2012 R2
Internet Explorer 11 Windows Server 2016
Internet Explorer 11 Windows Server 2019

0x03 修复建议

微软官网暂时未对该漏洞发布安全补丁。

官方给出的措施是暂时完全停用 JScript.dll 以进行修复。

注:禁用 JScript.dll 会导致依赖 js 的页面无法正常工作,目前的互联网页面内容大部分都依赖于 js 进行渲染。 禁用可能会严重影响正常页面的显示。请自行斟酌和安排修复工作。

禁用JScript.dll

32位系统

takeown /f %windir%\system32\jscript.dll
cacls %windir%\system32\jscript.dll /E /P everyone:N

64位系统

takeown /f %windir%\syswow64\jscript.dll
cacls %windir%\syswow64\jscript.dll /E /P everyone:N
takeown /f %windir%\system32\jscript.dll
cacls %windir%\system32\jscript.dll /E /P everyone:N

撤销禁用JScript.dll

32位系统

cacls %windir%\system32\jscript.dll /E /R everyone

64位系统

cacls %windir%\system32\jscript.dll /E /R everyone    
cacls %windir%\syswow64\jscript.dll /E /R everyone

0x04 时间线

2020-01-17 微软发布漏洞预警

2020-01-20 360CERT发布预警

0x05 参考链接

  1. ADV200001 | Microsoft Guidance on Scripting Engine Memory Corruption Vulnerability