关于防范微软IE浏览器0day漏洞(CVE-2020-0674)的通知

21.01.2020  13:23

各位老师、同学:

        2020年1月17日,微软发布安全公告( ADV200001,1月19日更新 )称,一个IE浏览器的0day ( CVE-2020-0674 ) 已遭利用,而且暂无补丁,仅有应变措施和缓解措施。微软表示正在推出解决方案,将在后续发布。该漏洞评级为“ 高危 ”,利用难度低,容易对主机安全造成严重风险, 建议做好临时防护措施(参见本文后续说明)的同时,尽量不使用Windows系统内置的IE(Internet Explorer)浏览器访问网络,可以在Windows10中使用Edge浏览器或者安装Chrome、Firefox等非IE内核浏览器访问互联网,避免被恶意入侵影响主机安全

目前该漏洞的具体情况如下:

一、IE浏览器介绍

        IE浏览器是自1995年开始内置在各个版本的Windows操作系统中的默认浏览器,是Windows操作系统中的重要组成部分。

        2015年3月微软确认放弃IE品牌,在Windows 10 中使用Edge代替了IE,并在2015年10月宣布2016年1月起停止支持老版本IE浏览器。

二、漏洞描述

        CVE-2020-0674,IE浏览器远程代码执行漏洞,漏洞触发点位于IE的脚本引擎Jscript.dll中。攻击者可以使用IE加载特定的js代码来触发漏洞,成功利用此漏洞的攻击者可以在当前用户的上下文中执行任意代码。如果当前用户使用管理员权限登陆,攻击者可以完全控制受影响的系统,任意安装程序、查看/更改或删除数据、创建具有完全用户权限的新账户。该漏洞攻击成本低,容易利用。目前已发现在野利用,但微软官方表示这些利用只发生在有限的目标攻击中,并未遭到大规模利用。

三、影响范围

Internet Explorer 9

Windows Server 2008 x64/x32 sp2

Internet Explorer 10

Windows Server 2012

Internet Explorer 11

Windows 7 x64/x32 sp1

Internet Explorer 11

Windows 8.1 x64/x32

Internet Explorer 11

Windows RT 8.1

Internet Explorer 11

Windows 10 x64/x32

Internet Explorer 11

Windows 10 Version 1607 x64/x32

Internet Explorer 11

Windows 10 Version 1709 x64/x32/arm64

Internet Explorer 11

Windows 10 Version 1803 x64/x32/arm64

Internet Explorer 11

Windows 10 Version 1809 x64/x32/arm64

Internet Explorer 11

Windows 10 Version 1903 x64/x32/arm64

Internet Explorer 11

Windows 10 Version 1909 x64/x32/arm64

Internet Explorer 11

Windows Server 2008 R2 x64 sp1

Internet Explorer 11

Windows Server 2012

Internet Explorer 11

Windows Server 2012 R2

Internet Explorer 11

Windows Server 2016

Internet Explorer 11

Windows Server 2019

四、修复建议

          微软尚未发布针对此漏洞的安全补丁,但其宣称正在积极开发中。短时间内用户可根据以下缓解措施最大程度在安全补丁发布之前进行一定程度的防护:

禁用JScript.dll

备注:禁用JScript.dll会导致依赖 js 的页面无法正常工作,目前的互联网页面内容大部分都依赖于 js 进行渲染。禁用可能会严重影响正常页面的显示。微软官方建议仅当有迹象表明您处于较高风险中时,才考虑使用这些缓解措施。采用以下缓解措施后,在安全补丁更新时,需要先还原原来的配置再进行补丁安装。


针对32位操作系统,禁用JScript.dll 的操作方式如下:

takeown /f %windir%\system32\jscript.dll

cacls %windir%\system32\jscript.dll /E /P everyone:N


针对64位操作系统,禁用JScript.dll 的操作方式如下:

takeown /f %windir%\syswow64\jscript.dll

cacls %windir%\syswow64\jscript.dll /E /P everyone:N

takeown /f %windir%\system32\jscript.dll

cacls %windir%\system32\jscript.dll /E /P everyone:N


撤销禁用JScript.dll:


针对32位操作系统,撤销禁用JScript.dll 的操作方式如下:

cacls %windir%\system32\jscript.dll /E /R everyone


针对64位操作系统,撤销禁用JScript.dll 的操作方式如下:

cacls %windir%\system32\jscript.dll /E /R everyone

cacls %windir%\syswow64\jscript.dll /E /R everyone


        请各位师生根据后续微软发布补丁进展,及时通过Windows操作系统更新补丁或从微软官方渠道下载补丁更新。


现代教育技术中心

2020年1月21日

相关信息来源:

深信服安全团队 深信服千里目安全实验室360CERT