WhiteHat News #ID:2017
VIP Members
-
20/03/2017
-
113
-
356 bài viết
Microsoft phát hành bản vá khẩn cấp cho lỗ hổng 0-day trên IE đang bị khai thác
Ngày 19/12, Microsoft đã phát hành bản vá an ninh out-of-band để xử lý lỗ hổng 0-day nghiêm trọng trong trình duyệt Internet Explorer (IE) đã bị hacker khai thác trong thực tế để tấn công vào các máy Windows.
Được phát hiện bởi chuyên gia Clement Lecigne thuộc Nhóm Phân tích Nguy cơ của Google, lỗ hổng CVE-2018-8653 này là lỗi thực thi mã từ xa trong scripting engine (công cụ kịch bản) của trình duyệt IE.
Theo khuyến cáo an ninh, lỗ hổng làm hỏng bộ nhớ nằm trong thành phần JScript scripting engine của Microsoft Internet Explorer để xử lý việc thực thi các ngôn ngữ kịch bản.
Nếu khai thác thành công, kẻ tấn công có thể thực thi mã tùy ý bằng quyền người dùng hiện tại.
Theo khuyến cáo của Microsoft, "Nếu người dùng hiện tại đăng nhập bằng quyền quản trị người dùng, kẻ tấn công khai thác thành công lỗ hổng có thể kiểm soát hệ thống bị ảnh hưởng, từ đó cài đặt chương trình, xem, thay đổi hoặc xóa dữ liệu hoặc tạo tài khoản mới với toàn bộ quyền người dùng”.
Bên cạnh đó, kẻ tấn công từ xa cũng có thể lừa nạn nhân bằng cách thuyết phục họ xem một tài liệu HTML đặc biệt (ví dụ: một trang web hoặc email đính kèm), tài liệu MS Office, file PDF hoặc bất kỳ tài liệu nào khác hỗ trợ nội dung công cụ kịch bản IE.
Lỗ hổng 0-day của IE ảnh hưởng đến IE 9 trên Windows Server 2008, IE 10 trên Windows Server 2012, IE 11 từ Windows 7 đến Windows 10 và IE 11 trên Windows Server 2019, Windows Server 2016, Windows Server 2008 R2, Windows Server 2012 R2.
Cả Google và Microsoft đều chưa công bố bất kỳ chi tiết kỹ thuật nào về lỗ hổng zero-day của IE, mã khai thác PoC hoặc chi tiết về chiến dịch tấn công mạng đang diễn ra thông qua việc khai thác lỗ hổng RCE này.
Đây là một lỗ hổng nghiêm trọng đang bị khai thác trong thực tế nên người dùng được khuyến cáo cài đặt các bản cập nhật mới nhất từ Microsoft trong thời gian sớm nhất.
Mặc dù không được khuyến cáo, nhưng với người dùng không thể cập nhật ngay bản vá, họ có thể giảm thiểu mối đe dọa bằng cách hạn chế quyền truy cập vào file jscript.dll nhờ chạy lệnh sau với quyền quản trị.
Với Hệ thống 32 bit - cacls %windir%\system32\jscript.dll /E /P everyone:N
Với Hệ thống 64 bit - cacls %windir%\syswow64\jscript.dll /E /P everyone:N
Một điều cần lưu ý là lệnh trên sẽ buộc trình duyệt web sử dụng thư viện Jscript9.dll, nhưng bất kỳ trang web nào dựa trên Jscript.dll sẽ không thể hoạt động bình thường.
Theo khuyến cáo an ninh, lỗ hổng làm hỏng bộ nhớ nằm trong thành phần JScript scripting engine của Microsoft Internet Explorer để xử lý việc thực thi các ngôn ngữ kịch bản.
Nếu khai thác thành công, kẻ tấn công có thể thực thi mã tùy ý bằng quyền người dùng hiện tại.
Theo khuyến cáo của Microsoft, "Nếu người dùng hiện tại đăng nhập bằng quyền quản trị người dùng, kẻ tấn công khai thác thành công lỗ hổng có thể kiểm soát hệ thống bị ảnh hưởng, từ đó cài đặt chương trình, xem, thay đổi hoặc xóa dữ liệu hoặc tạo tài khoản mới với toàn bộ quyền người dùng”.
Bên cạnh đó, kẻ tấn công từ xa cũng có thể lừa nạn nhân bằng cách thuyết phục họ xem một tài liệu HTML đặc biệt (ví dụ: một trang web hoặc email đính kèm), tài liệu MS Office, file PDF hoặc bất kỳ tài liệu nào khác hỗ trợ nội dung công cụ kịch bản IE.
Lỗ hổng 0-day của IE ảnh hưởng đến IE 9 trên Windows Server 2008, IE 10 trên Windows Server 2012, IE 11 từ Windows 7 đến Windows 10 và IE 11 trên Windows Server 2019, Windows Server 2016, Windows Server 2008 R2, Windows Server 2012 R2.
Cả Google và Microsoft đều chưa công bố bất kỳ chi tiết kỹ thuật nào về lỗ hổng zero-day của IE, mã khai thác PoC hoặc chi tiết về chiến dịch tấn công mạng đang diễn ra thông qua việc khai thác lỗ hổng RCE này.
Đây là một lỗ hổng nghiêm trọng đang bị khai thác trong thực tế nên người dùng được khuyến cáo cài đặt các bản cập nhật mới nhất từ Microsoft trong thời gian sớm nhất.
Mặc dù không được khuyến cáo, nhưng với người dùng không thể cập nhật ngay bản vá, họ có thể giảm thiểu mối đe dọa bằng cách hạn chế quyền truy cập vào file jscript.dll nhờ chạy lệnh sau với quyền quản trị.
Với Hệ thống 32 bit - cacls %windir%\system32\jscript.dll /E /P everyone:N
Với Hệ thống 64 bit - cacls %windir%\syswow64\jscript.dll /E /P everyone:N
Một điều cần lưu ý là lệnh trên sẽ buộc trình duyệt web sử dụng thư viện Jscript9.dll, nhưng bất kỳ trang web nào dựa trên Jscript.dll sẽ không thể hoạt động bình thường.
Theo Hacker news