freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

360向广大政企用户发出Win7漏洞威胁预警通告
2020-01-16 18:44:00
所属地 海外

20201月14日,Win7正式宣告停服,自此微软官方将不再对Win7系统进行任何问题的技术支持、软件更新,以及安全更新或修复。在此之际,360安全大脑在全球范围内率先监测到一起利用IE浏览器脚本引擎0day漏洞的APT攻击。

 

据360安全专家解读,用该漏洞,攻击者可诱使用户访问恶意网页,触发该漏洞后可以直接获得对用户系统的控制,产生的影响不亚于此前WannaCry勒索病毒带来的伤害。此漏洞波及范围不仅影响所有微软用户,政府、企业用户更将成为首要攻击目标

 

针对此问题,360独家推出360安全大脑Windows 7盾甲企业版,支持Windows全平台已知漏洞的补丁修复,针对突发性高位漏洞可通过先行自动覆盖漏洞,解决防护能力滞后问题,全天候守护PC安全。360建议广大政府、企业Win7系统用户联系360安全团队获取帮助,以抵御新型IE浏览器0day漏洞威胁,并于1月15日官方发布《360安全大脑关于微软Win7系统IE远程执行漏洞利用的告客户书》,原文如下:

 

(一)通告背景

2020年1月,360安全大脑在Win7停服之际,在全球范围内率先监测到一起利用IE浏览器脚本引擎0day漏洞的APT攻击。利用该漏洞,攻击者可诱使用户访问恶意网页,触发该漏洞后可以直接获得对用户系统的控制。 在捕获到该IE浏览器0day漏洞攻击的第一时间,360安全大脑对漏洞利用背后的APT组织进行追踪与溯源分析。目前,从已捕获攻击细节及特征初步判定,此次IE浏览器0day漏洞攻击疑似出自半岛的APT组织Darkhotel(APT-C-06)之手。 Darkhotel(APT-C-06) 是一个活跃近十余年的东亚背景APT组织,相关攻击行动最早可以追溯到2007年,而此次截获的IE浏览器0day漏洞攻击,也并非是360安全大脑第一捕获该组织动向。


2018年4月,360安全大脑就曾在全球范围内,率先监控到了该组织使用0day漏洞进行APT攻击。而从360安全大脑溯源分析报告来看,该APT组织长期目标涉及中、俄、日等国政府及组织机构或企业单位,尤其针对中国重点省份外贸企业单位和相关机构展开攻击,更是由来已久。 在捕获到该IE浏览器0day漏洞后,360安全团队已第一时间向微软官方提交了详细漏洞报告,目前微软官方已经在跟进。 但是,必须一提的是,由于2020年1月14日起,Win7正式宣告停服,微软官方将不再对Win7系统进行任何问题的技术支持、软件更新,以及安全更新或修复,这意味着该IE浏览器0day漏洞修复补丁将不再次覆盖Win7系统,换言之,所有Win7用户将悉数暴露在该漏洞的阴霾之下。 对此,360安全团队建议广大用户及时更新软件补丁,Win7系统用户则尽快下载安装360安全大脑Windows 7盾甲企业版抵御新型IE浏览器0day漏洞威胁。

 

(二)文档信息

微信图片_20200116184202.png(三)漏洞概要

微信图片_20200116184259.png

(四)漏洞描述

该漏洞存在于IE 中的脚本引擎jscript.dll中,该脚本引擎在处理内存对象的过程中,触发漏洞后会造成内存损坏,从而可以造成远程代码执行漏洞。

 

360安全大脑已完整捕获攻击过程,发现攻击者的在野利用将该漏洞嵌入在Office文档中,用户打开Office文档或浏览网页都会中招。而近年来,用户量庞大、看似安全无害Office文档已逐渐成为APT攻击最青睐的载体。

 

一旦用户打开搭载了该漏洞的恶意文档,将会浏览恶意网页并执行攻击程序,用户甚至还未感知得到,设备就已经被控制,攻击者可趁机进行植入勒索病毒、监听监控、窃取敏感信息等任意操作。

 

(五)影响面评估

根据数据显示, 直至2019年10月底,国内Windows7系统的市场份额占比仍有近6成,而对于国内而言,存在数量惊人的政府、军队、企业、个人在内的 PC用户依然使用着Win7系统。

 

而Windows7的终结,意味着数以亿计的用户失去了微软官方的所有支持,包括软件更新、补丁修复和防火墙保障,将直面该漏洞利用进行的攻击,并会完全暴露在安全威胁之下。

 

考虑到APT组织Darkhotel(APT-C-06)长期以政府组织、企业为目标的特性,IE浏览器0day远程执行漏洞影响所有微软系统的特点,已经受影响版本中Win7系统已停服的三方面现实因素,此次IE浏览器0day漏洞波及范围不仅影响所有微软用户,政府、企业用户更将成为首要目标。

 

(六)解决方案

 

(1)360安全大脑Windows 7盾甲企业版

一面是APT高危漏洞攻击,一面是Win7系统停服,政企用户安全将何去何从?对此,广大政企用户可联系360公司获取360安全大脑Windows 7盾甲企业版。

联系方式如下:

联系人:刘宁

电话:(010)52447992

 (010)5781360

邮箱:liyunpeng3@360.cn

 

该版本一键管理全网终端,支持Windows全平台已知漏洞的补丁修复,结合针对漏洞威胁全新推出的360微补丁功能,在面对“双星”0day漏洞等突发性高危漏洞时,360微补丁可通过先行自动覆盖漏洞,解决防护能力滞后问题,全天候守护PC安全。

 

360安全大脑作为360公司重磅打造的网络安全防御雷达系统,汇集超 250 亿个恶意样本,22 万亿安全日志、80 亿域名信息、2EB以上的安全大数据,结合首创的 360QVM 人工智能引擎,实现人机协同大数据智能分析,打造预判、阻断、溯源、止损及反制多位一体的安全防御解决方案。

 

可查数据显示,具备大规模综合智能处置能力的的360安全大脑,最快可在1天内实现漏洞补丁、免疫工具、安全策略和威胁情报推送,有效保障了Win7盾甲漏洞防御及修复实时性。同时,包括Darkhotel(APT-C-06)在内,360安全大脑已发现41起针对我国发起的境外APT攻击,可帮助政企客户有效应对各类APT攻击,提升整体防御能力。Windows 7盾甲企业版内置高级威胁发现功能,结合360安全大脑云端知识库,可帮助用户及时发现高级威胁攻击的踪迹,并建立全面的防御体系。

 

(2)360安全大脑-专家云1对1服务

针对此次Windows7停服事件相关需求,企事业单位的网络管理员可联系360安全大脑安服团队进行1对1服务。

座机 :(010) 5244 7992

应急 :yingji@360.cn

360安全大脑Windows 7盾甲企业版安服人员:李云鹏 liyunpeng3@360.cn

 

(3)应急措施:

限制对JScript.dll的访问,可暂时规避该安全风险,但可能导致网站无法正常浏览。

对于32位系统,在管理命令提示符处输入以下命令:

takeown /f%windir%\\system32\\jscript\.dll

cacls%windir%\\system32\\jscript\.dll /E /P everyone:N

 

对于64位系统,在管理命令提示符处输入以下命令:

takeown /f %windir%\\syswow64\\jscript\.dll

cacls%windir%\\syswow64\\jscript\.dll /E /P everyone:N

takeown /f%windir%\\system32\\jscript\.dll

cacls%windir%\\system32\\jscript\.dll /E /P everyone:N

 

实施这些步骤可能会导致依赖jscript.dll的组件功能减少。为了得到完全保护,建议尽快安装此更新。在 安装更新 之前, 请还原缓解步骤以返回到完整状态。

 

如何撤消临时措施

对于32位系统,在管理命令提示符处输入以下命令:

cacls%windir%\\system32\\jscript\.dll /E /R everyone  

 

对于64位系统,在管理命令提示符处输入以下命令:

cacls%windir%\\system32\\jscript\.dll /E /R everyone   

cacls %windir%\\syswow64\\jscript\.dll/E /R everyone

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者