最近，微軟有點(diǎn)活躍。

雷鋒網(wǎng)消息，1 月 17 日，微軟發(fā)布安全公告( ADV200001 )稱，一個(gè) IE 0day ( CVE-2020-0674 ) 已遭利用，而且暫無(wú)補(bǔ)丁，僅有應(yīng)變措施和緩解措施。微軟表示正在推出解決方案，將在后續(xù)發(fā)布。

微軟表示該 IE 0day 已遭在野利用，并且指出這些利用只發(fā)生在“有限的目標(biāo)攻擊中”，該 0day 并未遭大規(guī)模利用，而只是針對(duì)少量用戶攻擊的一部分。這些有限的 IE 0day 攻擊被指是更大規(guī)模的黑客活動(dòng)的一部分，其中牽涉了針對(duì)火狐用戶的攻擊。

漏洞詳情

根據(jù)公告，微軟將該 IE 0day 漏洞描述為遠(yuǎn)程代碼執(zhí)行漏洞 ( RCE )，是由負(fù)責(zé)處理 JavaScript 代碼的瀏覽器組件 IE 腳本引擎中的內(nèi)存損壞漏洞引發(fā)的。

微軟對(duì)該 0day 的描述為：腳本引擎處理 IE 內(nèi)存對(duì)象的方式中存在一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞。該漏洞可損壞內(nèi)存，導(dǎo)致攻擊者以當(dāng)前用戶的上下文執(zhí)行任意代碼。成功利用該漏洞的攻擊者可獲得和當(dāng)前用戶同樣的用戶權(quán)限。如果當(dāng)前用戶以管理員用戶權(quán)限登錄，則成功利用該漏洞的攻擊者能夠控制受影響系統(tǒng)。之后攻擊者能夠安裝程序；查看、更改或刪除數(shù)據(jù)；或者以完整的用戶權(quán)限創(chuàng)建新賬戶。

在基于 web 的攻擊場(chǎng)景中，攻擊者能夠托管特別構(gòu)造的可通過(guò) IE 瀏覽器利用該漏洞的網(wǎng)站，之后說(shuō)服用戶查看該網(wǎng)站，比如通過(guò)發(fā)送郵件的方式查看網(wǎng)站。比如，發(fā)送電子郵件。

解決辦法

在默認(rèn)情況下，Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016 和 Windows Server 2019 以“增強(qiáng)的安全配置”受限制模式運(yùn)行。“增強(qiáng)的安全配置”模式是IE的一組預(yù)配置設(shè)置，可降低用戶或管理員下載并在服務(wù)器上運(yùn)行特殊構(gòu)造的 web 內(nèi)容的可能性。它是針對(duì)尚未被加入“IE可信”站點(diǎn)區(qū)域的網(wǎng)站的一個(gè)緩解因素。

應(yīng)變措施

限制對(duì) JScript.dll 的訪問(wèn)權(quán)限。

對(duì)于32位系統(tǒng)，在管理員命令提示符中輸入如下命令：

 takeown /f %windir%\system32\jscript.dll

    cacls %windir%\system32\jscript.dll /E /P everyone:N

對(duì)于64位系統(tǒng)，在管理員命令提示符中輸入如下命令：

takeown /f %windir%\syswow64\jscript.dll

    cacls %windir%\syswow64\jscript.dll /E /P everyone:N

    takeown /f %windir%\system32\jscript.dll

    cacls %windir%\system32\jscript.dll /E /P everyone:N

值得注意的是，微軟表示，應(yīng)用該應(yīng)變措施可能導(dǎo)致依賴 javascript.dl 的組件或特征功能減少。因此微軟推薦盡快安裝更新實(shí)現(xiàn)完全防護(hù)。在安裝更新前需要還原緩解步驟以返回到完整狀態(tài)。

在默認(rèn)情況下，IE11、IE10 和 IE9 用戶使用的是未受該漏洞影響的 Jscript9.dll。該漏洞僅影響使用 Jscript 腳本引擎的某些網(wǎng)站。

撤銷應(yīng)變措施微軟還給出了撤銷應(yīng)變措施的步驟：

對(duì)于32位系統(tǒng)，在管理員命令提示符中輸入如下命令：

cacls %windir%\system32\jscript.dll /E /R everyone   

對(duì)于64位系統(tǒng)，在管理員命令提示符中輸入如下命令：

cacls %windir%\system32\jscript.dll /E /R everyone  cacls %windir%\syswow64\jscript.dll /E /R everyone

微軟表示所有受支持的 Windows 桌面和 Server OS 版本均受影響。

所以，雷鋒網(wǎng)在這里建議大家能更新的就及時(shí)更新吧。雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

參考來(lái)源：微軟官方公告

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。