报告编号:B6-2020-030301
报告来源:360CERT
报告作者:360CERT
更新日期:2020-12-30
0x01漏洞背景
2020年01月17日 微软发布了针对Internet Explorer
的风险提示。
Internet Explorer 是自从1995年开始,内置在各个新版本的Windows操作系统内的默认的浏览器,也是微软Windows操作系统的一个组成部分。
CVE-2020-0674
该漏洞出现在Internet Explorer脚本引擎JScript.dll
中。该组件存在一个远程代码执行漏洞。由Ella Yu from Qihoo 360
/Clément Lecigne of Google’s Threat Analysis Group
发现。
该漏洞可以使攻击者在当前用户环境中执行任意代码。利用此漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录,则可以完全控制受影响的系统。攻击者可以随意安装程序、查看/更改或删除数据、创建具有完全用户权限的新帐户。
2020年03月02日 360CERT 监测发现03月01日该漏洞PoC已经在 VT(Goolge样本平台)上进行公开,攻击者极易发起攻击,对用户资产构成直接的威胁
0x02风险等级
360CERT对该漏洞情况再次进行评定
评定方式 | 等级 |
---|---|
威胁等级 | 严重 |
影响面 | 广泛 |
由于PoC已经公开,同时浏览器作为用户的互联网入口,用户易被直接攻击。该漏洞的威胁等级/影响面都大幅上升。
360CERT建议广大用户及时更新Windows
安全补丁。做好资产 自查/自检/预防 工作,以免遭受攻击。
0x03漏洞详情
漏洞出现在JScript.dll
中,IE中加载执行特定的 js 代码会触发此漏洞。攻击成本低,容易实施。
该漏洞已经可以被用于攻击利用,并且微软声明已发现存在在野利用。
建议广大用户及时按照修复建议中的内容进行修复。停用JScript.dll
,以免遭受该漏洞到攻击。
默认情况下
-Windows Server 2008
-Windows Server 2008 R2
-Windows Server 2012
-Windows Server 2012 R2
-Windows Server 2016
-Windows Server 2019
该系列系统的Internet Explorer以"增强安全配置"的受限模式运行。增强的安全配置是Internet Explorer中的一组预设置,可以减少用户或管理员在服务器上下载并运行特制Web内容的可能性。对于尚未添加到“Internet Explorer可信站点”区域的网站,这是一个缓解措施。
但360CERT依旧建议您,及时按照修复建议中的内容进行修复。停用JScript.dll
,以免遭受该漏洞到攻击。
0x04影响版本
产品 | windows 版本 |
---|---|
Internet Explorer 9 | Windows Server 2008 x64/x32 sp2 |
Internet Explorer 10 | Windows Server 2012 |
Internet Explorer 11 | Windows 7 x64/x32 sp1 |
Internet Explorer 11 | Windows 8.1 x64/x32 |
Internet Explorer 11 | Windows RT 8.1 |
Internet Explorer 11 | Windows 10 x64/x32 |
Internet Explorer 11 | Windows 10 Version 1607 x64/x32 |
Internet Explorer 11 | Windows 10 Version 1709 x64/x32/arm64 |
Internet Explorer 11 | Windows 10 Version 1803 x64/x32/arm64 |
Internet Explorer 11 | Windows 10 Version 1809 x64/x32/arm64 |
Internet Explorer 11 | Windows 10 Version 1903 x64/x32/arm64 |
Internet Explorer 11 | Windows 10 Version 1909 x64/x32/arm64 |
Internet Explorer 11 | Windows Server 2008 R2 x64 sp1 |
Internet Explorer 11 | Windows Server 2012 |
Internet Explorer 11 | Windows Server 2012 R2 |
Internet Explorer 11 | Windows Server 2016 |
Internet Explorer 11 | Windows Server 2019 |
0x05修复建议
微软已在二月更新补丁中修复次漏洞,建议尽快安装更新补丁。
无法及时更新的用户可以采取:
官方给出的措施是暂时完全停用JScript.dll
以进行修复。
注:禁用JScript.dll
会导致依赖 js 的页面无法正常工作,目前的互联网页面内容大部分都依赖于 js 进行渲染。
禁用可能会严重影响正常页面的显示。请自行斟酌和安排修复工作。
> 禁用JScript.dll
32位系统
takeown /f %windir%\system32\jscript.dll cacls %windir%\system32\jscript.dll /E /P everyone:N
64位系统
takeown /f %windir%\syswow64\jscript.dll cacls %windir%\syswow64\jscript.dll /E /P everyone:N takeown /f %windir%\system32\jscript.dll cacls %windir%\system32\jscript.dll /E /P everyone:N
> 撤销禁用JScript.dll
32位系统
cacls %windir%\system32\jscript.dll /E /R everyone
64位系统
cacls %windir%\system32\jscript.dll /E /R everyone cacls %windir%\syswow64\jscript.dll /E /R everyone
0x06产品侧解决方案
360安全卫士
针对该漏洞,windows用户可通过360安全卫士实现对应补丁安装,其他平台的用户可以根据修复建议列表中的产品更新版本对存在漏洞的产品进行更新。
Windows 7系统用户可以使用360 Win7盾甲产品阻止该漏洞攻击。
0x07时间线
2020-01-17 微软发布漏洞预警
2020-01-20 360CERT发布预警
2020-03-02 360CERT监测发现PoC公开
2020-03-03 360CERT再次预警
0x08参考链接
1、 ADV200001 | Microsoft Guidance on Scripting Engine Memory Corruption Vulnerability
2、 Darkhotel(APT-C-06)使用“双星”0Day漏洞(CVE-2019-17026、CVE-2020-0674)针对中国发起的APT攻击分析 - 360 核心安全技术博客
3、 CVE-2020-0674: Internet Explorer远程代码执行漏洞通告 - 360CERT
0x09特制报告下载链接
一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。 用户可直接通过以下链接进行特制报告的下载。
CVE-2020-0674: Internet Explorer远程代码执行漏洞PoC公开通告若有订阅意向与定制需求请发送邮件至 g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。