CVE-2020-0674: IE 0 day漏洞
ang010ela 嘶吼专业版
微软在发布的安全公告(ADV200001)中提到了一个影响IE浏览器的0day 远程代码执行漏洞——CVE-2020-0674,微软确定该 0day漏洞已有在野利用。
根据微软发布的安全公告,CVE-2020-0674漏洞是一个远程代码执行漏洞,漏洞存在于IE浏览器中的脚本引擎在内存中处理对象的方式。该漏洞会破坏内存以至于***者可以在当前用户环境下执行任意代码。成功利用该漏洞的***者可以获取与当前用户相同的用户权限。如果当前用户是以管理员用户权限登陆的,那么***者也就获取了管理员用户权限,可以通过利用该漏洞完全控制受影响的系统。***者成功利用该漏洞后可以在受影响的系统中安装应用程序,查看、修改或删除数据,还可以创建含有所有用户权限的新的用户账户。受影响的版本包括Internet Explorer 9/10/11。
在基于web的***场景中,***者可以通过专门伪造一个通过IE浏览器利用该漏洞的网站,然后通过发送邮件等方式诱使用户查看该网站。
微软称正在开发修复该漏洞的补丁,由于已经发现了在野漏洞利用,因此微软发布了一个快速更新。微软建议用户使用以下方式通过限制对JScript.dll的访问来缓解该0 day漏洞。
在32位操作系统中,在管理员命令窗口中输入以下命令:
takeown /f %windir%\system32\jscript.dll
cacls %windir%\system32\jscript.dll /E /P everyone:N
在64位操作系统中,在管理员命令窗口中输入以下命令:
takeown /f %windir%\syswow64\jscript.dll
cacls %windir%\syswow64\jscript.dll /E /P everyone:N
takeown /f %windir%\system32\jscript.dll
cacls %windir%\system32\jscript.dll /E /P everyone:N
微软同时称这种修复的方式可能会影响使用jscript.dll的功能或组件。微软建议用户在安装补丁前回退以上快速修复方案,具体方式如下:
在32位操作系统中,在管理员命令窗口中输入以下命令:
cacls %windir%\system32\jscript.dll /E /R everyone
在64位操作系统中,在管理员命令窗口中输入以下命令:
cacls %windir%\system32\jscript.dll /E /R everyone
cacls %windir%\syswow64\jscript.dll /E /R everyone
参考来源:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV200001
https://securityaffairs.co/wordpress/96560/hacking/cve-2020-0674-ie-0day.html