[漏洞预警] IE远程代码执行0day漏洞在野攻击,后附解决方案

漏洞公告：

今天，我们在收到Google提供的有关针对性攻击中使用的新漏洞的报告后，发布了Internet Explorer安全更新。

已启用Windows Update并已应用最新安全更新的客户将自动受到保护。我们鼓励客户开启自动更新。

微软感谢Google的帮助。有关此安全更新的详细信息，请参阅“安全更新指南”：

相关链接：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8653

漏洞发现方为：谷歌威胁分析小组的Clement Lecigne

漏洞详情:

漏洞编号CVE-2018-8653 | 脚本引擎内存损坏漏洞

    JScript脚本引擎，在Internet Explorer中处理内存中的对象的方式中存在一个远程执行代码漏洞。

    该漏洞可以使得攻击者可以在当前用户的上下文中执行任意代码的方式来破坏内存。成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限。

如果当前用户使用管理用户权限登录，则成功利用此漏洞的攻击者可以控制受影响的系统。然后攻击者可以安装程序; 查看，更改或删除数据; 或创建具有完全用户权限的新帐户。

      在基于Web的攻击情形中，攻击者可能拥有一个旨在通过InternetExplorer利用此漏洞的特制网站，然后诱使用户查看该网站，例如，通过发送电子邮件。

      此安全更新通过修改脚本引擎处理内存中对象的方式来解决漏洞。

漏洞影响版本：

InternetExplorer 11 差不多全版本

WindowsServer 2012 平台上的 Internet Explorer 10

WindowsServer 2008 sp2 平台上的 Internet Explorer 9

解决方案:

一、

限制对JScript.dll的访问 对于32位系统，请在管理命令提示符处输入以下命令：

      cacls%windir%\system32\jscript.dll /E /P everyone:N

对于64位系统，请在管理命令提示符处输入以下命令：

      cacls%windir%\syswow64\jscript.dll /E /P everyone:N

二、

默认情况下，IE11，IE10和IE9使用不受此漏洞影响的Jscript9.dll。此漏洞仅影响使用jscript作为脚本引擎的某些网站。

因此可以执行下列操作

对于32位系统，请在管理命令提示符处输入以下命令：

      cacls%windir%\system32\jscript.dll /E /R everyone

对于64位系统，请在管理命令提示符处输入以下命令：

      cacls%windir%\syswow64\jscript.dll /E /R everyone

缓解措施：

默认情况下，Windows Server 2008，Windows Server 2008 R2，Windows Server 2012，Windows Server 2012 R2，Windows Server 2016和Windows Server 2019上的Internet Explorer以受限模式运行，称为增强安全配置。增强的安全配置是Internet Explorer中的一组预配置设置，可以降低用户或管理员在服务器上下载和运行特制Web内容的可能性。对于尚未添加到Internet Explorer“受信任的站点”区域的网站，可以缓解此类攻击。

其他情报请关注公众号，在下方知识星球一栏查看