关闭

绑定手机号

应国家法规对于账号实名的要求,请您在进行下一步操作前,需要先完成手机绑定 (若绑定失败,请重新登录绑定)。了解更多

不绑定绑定手机号

360官网 | 会员商城 | 360手机官网 | 社区客户端

推荐论坛版块活动众测会员商城福利换券

2020年1月,360安全大脑在Win7停服之际,在全球范围内率先监测到一起利用IE浏览器脚本引擎0day漏洞的APT攻击。利用该漏洞,攻击者可诱使用户访问恶意网页,触发该漏洞后可以直接获得对用户系统的控制。

在捕获到该IE浏览器0day漏洞攻击的第一时间,360安全大脑对漏洞利用背后的APT组织进行追踪与溯源分析。目前,从已捕获攻击细节及特征初步判定,此次IE浏览器0day漏洞攻击疑似出自半岛的APT组织Darkhotel(APT-C-06)之手。

Darkhotel(APT-C-06) 是一个活跃近十余年的东亚背景APT组织,相关攻击行动最早可以追溯到2007年,而此次截获的IE浏览器0day漏洞攻击,也并非是360安全大脑第一捕获该组织动向。

2018年4月,360安全大脑就曾在全球范围内,率先监控到了该组织使用0day漏洞进行APT攻击。而从360安全大脑溯源分析报告来看,该APT组织长期目标涉及中、俄、日等国政府及组织机构或企业单位,尤其针对中国重点省份外贸企业单位和相关机构展开攻击,更是由来已久。

在捕获到该IE浏览器0day漏洞后,360安全团队已第一时间向微软官方提交了详细漏洞报告,目前微软官方已经在跟进。

但是,必须一提的是,由于2020年1月14日起,Win7正式宣告停服,微软官方将不再对Win7系统进行任何问题的技术支持、软件更新,以及安全更新或修复,这意味着该IE浏览器0day漏洞修复补丁将不再次覆盖Win7系统,换言之,所有Win7用户将悉数暴露在该漏洞的阴霾之下。

对此,360安全团队建议广大用户及时更新软件补丁,Win7系统用户则尽快下载安装360安全大脑Windows 7盾甲企业版抵御新型IE浏览器0day漏洞威胁。



关键字
微软IE JScript RCE 远程命令执行
发布日期
2020年01月14日
更新日期
2020年01月14日
TLP
WHITE
分析团队
360核心安全事业部高级威胁应对团队

360社区

360社区


漏洞名称
微软 IE脚本引擎远程代码执行漏洞
威胁类型
远程代码执行
威胁等级
严重
漏洞发现者
360安全大脑
利用场景
攻击者可能会通过欺骗未修补的IE版本的用户访问恶意制作的网页,触发内存损坏漏洞获取任意代码执行从而控制用户系统。
受影响系统及应用版本
影响下列windows 操作系统 Internet Explorer 11 版本
Windows 10
Windows 8.1
Windows 7
Windows Server 2012/R2
Windows Server 2008
Windows Server 2016
Windows Server 2019
仅影响Windows Server 2012 IE 10
仅影响Windows Server 2008 SP2 IE 9

360社区

360社区


该漏洞存在于IE 中的脚本引擎jscript.dll中,该脚本引擎在处理内存对象的过程中,触发漏洞后会造成内存损坏,从而可以造成远程代码执行漏洞。

360安全大脑已完整捕获攻击过程,发现攻击者的在野利用将该漏洞嵌入在Office文档中,用户打开Office文档或浏览网页都会中招。而近年来,用户量庞大、看似安全无害Office文档已逐渐成为APT攻击最青睐的载体。

一旦用户打开搭载了该漏洞的恶意文档,将会浏览恶意网页并执行攻击程序,用户甚至还未感知得到,设备就已经被控制,攻击者可趁机进行植入勒索病毒、监听监控、窃取敏感信息等任意操作。

360社区

360社区


根据数据显示, 直至2019年10月底,国内Windows 7系统的市场份额占比仍有近6成,而对于国内而言,存在数量惊人的政府、军队、企业、个人在内的 PC用户依然使用着Win7系统。

而Windows 7的终结,意味着数以亿计的用户失去了微软官方的所有支持,包括软件更新、补丁修复和防火墙保障,将直面该漏洞利用进行的攻击,并会完全暴露在安全威胁之下。

考虑到APT组织Darkhotel(APT-C-06)长期以政府组织、企业为目标的特性,IE浏览器0day远程执行漏洞影响所有微软系统的特点,已经受影响版本中Win7系统已停服的三方面现实因素,此次IE浏览器0day漏洞波及范围不仅影响所有微软用户,政府、企业用户更将成为首要目标。

360社区

360社区

(1)360安全大脑Windows 7盾甲企业版

一面是APT高危漏洞攻击,一面是Win7系统停服,政企用户安全将何去何从?对此,广大政企用户可联系360公司获取360安全大脑Windows 7盾甲企业版。

联系方式如下:

联系人:李云鹏;
邮箱:liyunpeng3@360.cn
座机 :(010) 5244 7992;
应急 :yingji@360.cn

该版本一键管理全网终端,支持Windows全平台已知漏洞的补丁修复,结合针对漏洞威胁全新推出的360微补丁功能,在面对“双星”0day漏洞等突发性高危漏洞时,360微补丁可通过先行自动覆盖漏洞,解决防护能力滞后问题,全天候守护PC安全。

360安全大脑作为360公司重磅打造的网络安全防御雷达系统,汇集超 250 亿个恶意样本,22 万亿安全日志、80 亿域名信息、2EB 以上的安全大数据,结合首创的 360QVM 人工智能引擎,实现人机协同大数据智能分析,打造预判、阻断、溯源、止损及反制多位一体的安全防御解决方案。

可查数据显示,具备大规模综合智能处置能力的的360安全大脑,最快可在1天内实现漏洞补丁、免疫工具、安全策略和威胁情报推送,有效保障了Win7盾甲漏洞防御及修复实时性。同时,包括Darkhotel(APT-C-06)在内,360安全大脑已发现41起针对我国发起的境外APT攻击,可帮助政企客户有效应对各类APT攻击,提升整体防御能力。Windows 7盾甲企业版内置高级威胁发现功能,结合360安全大脑云端知识库,可帮助用户及时发现高级威胁攻击的踪迹,并建立全面的防御体系。

(2)360安全大脑-专家云1对1服务

针对此次Windows 7停服事件相关需求,企事业单位的网络管理员可联系360安全大脑安服团队进行1对1服务。
座机 :(010) 5244 7992
应急 :yingji@360.cn
360安全大脑Windows 7盾甲企业版安服人员:李云鹏 liyunpeng3@360.cn
(3)应急措施

限制对JScript.dll的访问,可暂时规避该安全风险,但可能导致网站无法正常浏览。

对于32位系统,在管理命令提示符处输入以下命令:
takeown /f %windir%\\system32\\jscript\.dll
cacls %windir%\\system32\\jscript\.dll /E /P everyone:N

对于64位系统,在管理命令提示符处输入以下命令:
takeown /f %windir%\\syswow64\\jscript\.dll
cacls %windir%\\syswow64\\jscript\.dll /E /P everyone:N
takeown /f %windir%\\system32\\jscript\.dll
cacls %windir%\\system32\\jscript\.dll /E /P everyone:N

实施这些步骤可能会导致依赖jscript.dll的组件功能减少。为了得到完全保护,建议尽快安装此更新。在安装更新之前, 请还原缓解步骤以返回到完整状态。

如何撤消临时措施

对于32位系统,在管理命令提示符处输入以下命令:
cacls %windir%\\system32\\jscript\.dll /E /R everyone   

对于64位系统,在管理命令提示符处输入以下命令:
cacls %windir%\\system32\\jscript\.dll /E /R everyone     
cacls %windir%\\syswow64\\jscript\.dll /E /R everyone


来源   360企业安全集团

360会员商城|360年货节,全场7.9元起

共 0 个关于360安全大脑关于微软Win7系统IE远程执行漏洞利用的告客户书的回复 最后回复于 2020-1-15 13:12

评论

直达楼层

您需要登录后才可以回帖 登录 | 注册

本版积分规则

飞机飞行 超级版主

粉丝:161 关注:12 积分:153205

精华:293 金币:175153 经验:122292

最后登录时间:2020-1-25

360AI音箱MAX-M1 公测AI小水滴D903 安全卫士10周年纪念 版主 公测360摄像机标准版 儿童五周年纪念章 360家庭防火墙APP内测 公测360摄像机户外版 360手机f4 公测360摄像机变焦宠物版 公测360家庭防火墙V5S 公测摄像机D916 家庭安防套装 防火墙V5S增强版公测勋章 360粉丝达人勋章 360会员商城青铜会员

私信 加好友

最新活动

新春活动

排行榜

热度排行 查看排行
今日 本周 本月 全部
    今日 本周 本月 全部

      内容推荐 热门推荐最新主帖

        关注360粉丝团,回复:抽奖,每周抽一个锦鲤大奖,等啥呢?扫它!!!

        快速回复 返回顶部 返回列表