2020年1月14日,Win7正式宣告停服,自此微软官方将不再对Win7系统进行任何问题的技术支持、软件更新,以及安全更新或修复。在此之际,360安全大脑在全球范围内率先监测到一起利用IE浏览器脚本引擎0day漏洞的APT攻击。

据360安全专家解读,利用该漏洞,攻击者可诱使用户访问恶意网页,触发该漏洞后可以直接获得对用户系统的控制,产生的影响不亚于此前WannaCry勒索病毒带来的伤害。此漏洞波及范围不仅影响所有微软用户,政府、企业用户更将成为首要攻击目标。

针对此问题,360独家推出360安全大脑Windows 7盾甲企业版,支持Windows全平台已知漏洞的补丁修复,针对突发性高位漏洞可通过先行自动覆盖漏洞,解决防护能力滞后问题,全天候守护PC安全。360建议广大政府、企业Win7系统用户联系360安全团队获取帮助,以抵御新型IE浏览器0day漏洞威胁,并于1月15日官方发布《360安全大脑关于微软Win7系统IE远程执行漏洞利用的告客户书》,原文如下:

(一)通告背景

2020年1月,360安全大脑在Win7停服之际,在全球范围内率先监测到一起利用IE浏览器脚本引擎0day漏洞的APT攻击。利用该漏洞,攻击者可诱使用户访问恶意网页,触发该漏洞后可以直接获得对用户系统的控制。 在捕获到该IE浏览器0day漏洞攻击的第一时间,360安全大脑对漏洞利用背后的APT组织进行追踪与溯源分析。目前,从已捕获攻击细节及特征初步判定,此次IE浏览器0day漏洞攻击疑似出自半岛的APT组织Darkhotel(APT-C-06)之手。 Darkhotel(APT-C-06) 是一个活跃近十余年的东亚背景APT组织,相关攻击行动最早可以追溯到2007年,而此次截获的IE浏览器0day漏洞攻击,也并非是360安全大脑第一捕获该组织动向。

2018年4月,360安全大脑就曾在全球范围内,率先监控到了该组织使用0day漏洞进行APT攻击。而从360安全大脑溯源分析报告来看,该APT组织长期目标涉及中、俄、日等国政府及组织机构或企业单位,尤其针对中国重点省份外贸企业单位和相关机构展开攻击,更是由来已久。 在捕获到该IE浏览器0day漏洞后,360安全团队已第一时间向微软官方提交了详细漏洞报告,目前微软官方已经在跟进。 但是,必须一提的是,由于2020年1月14日起,Win7正式宣告停服,微软官方将不再对Win7系统进行任何问题的技术支持、软件更新,以及安全更新或修复,这意味着该IE浏览器0day漏洞修复补丁将不再次覆盖Win7系统,换言之,所有Win7用户将悉数暴露在该漏洞的阴霾之下。 对此,360安全团队建议广大用户及时更新软件补丁,Win7系统用户则尽快下载安装360安全大脑Windows 7盾甲企业版抵御新型IE浏览器0day漏洞威胁。

(二)文档信息

360向广大政企用户发出Win7漏洞威胁预警通告-ITNEWS

(三)漏洞概要

360向广大政企用户发出Win7漏洞威胁预警通告-ITNEWS

(四)漏洞描述

该漏洞存在于IE 中的脚本引擎jscript.dll中,该脚本引擎在处理内存对象的过程中,触发漏洞后会造成内存损坏,从而可以造成远程代码执行漏洞。

360安全大脑已完整捕获攻击过程,发现攻击者的在野利用将该漏洞嵌入在Office文档中,用户打开Office文档或浏览网页都会中招。而近年来,用户量庞大、看似安全无害Office文档已逐渐成为APT攻击最青睐的载体。

一旦用户打开搭载了该漏洞的恶意文档,将会浏览恶意网页并执行攻击程序,用户甚至还未感知得到,设备就已经被控制,攻击者可趁机进行植入勒索病毒、监听监控、窃取敏感信息等任意操作。

(五)影响面评估

根据数据显示, 直至2019年10月底,国内Windows 7系统的市场份额占比仍有近6成,而对于国内而言,存在数量惊人的政府、军队、企业、个人在内的 PC用户依然使用着Win7系统。

而Windows 7的终结,意味着数以亿计的用户失去了微软官方的所有支持,包括软件更新、补丁修复和防火墙保障,将直面该漏洞利用进行的攻击,并会完全暴露在安全威胁之下。

考虑到APT组织Darkhotel(APT-C-06)长期以政府组织、企业为目标的特性,IE浏览器0day远程执行漏洞影响所有微软系统的特点,已经受影响版本中Win7系统已停服的三方面现实因素,此次IE浏览器0day漏洞波及范围不仅影响所有微软用户,政府、企业用户更将成为首要目标。

(六)解决方案

(1)360安全大脑Windows 7盾甲企业版

一面是APT高危漏洞攻击,一面是Win7系统停服,政企用户安全将何去何从?对此,广大政企用户可联系360公司获取360安全大脑Windows 7盾甲企业版。

该版本一键管理全网终端,支持Windows全平台已知漏洞的补丁修复,结合针对漏洞威胁全新推出的360微补丁功能,在面对“双星”0day漏洞等突发性高危漏洞时,360微补丁可通过先行自动覆盖漏洞,解决防护能力滞后问题,全天候守护PC安全。

360安全大脑作为360公司重磅打造的网络安全防御雷达系统,汇集超 250 亿个恶意样本,22 万亿安全日志、80 亿域名信息、2EB 以上的安全大数据,结合首创的 360QVM 人工智能引擎,实现人机协同大数据智能分析,打造预判、阻断、溯源、止损及反制多位一体的安全防御解决方案。

可查数据显示,具备大规模综合智能处置能力的的360安全大脑,最快可在1天内实现漏洞补丁、免疫工具、安全策略和威胁情报推送,有效保障了Win7盾甲漏洞防御及修复实时性。同时,包括Darkhotel(APT-C-06)在内,360安全大脑已发现41起针对我国发起的境外APT攻击,可帮助政企客户有效应对各类APT攻击,提升整体防御能力。Windows 7盾甲企业版内置高级威胁发现功能,结合360安全大脑云端知识库,可帮助用户及时发现高级威胁攻击的踪迹,并建立全面的防御体系。

(2)360安全大脑-专家云1对1服务

针对此次Windows 7停服事件相关需求,企事业单位的网络管理员可联系360安全大脑安服团队进行1对1服务。

(3)应急措施:

限制对JScript.dll的访问,可暂时规避该安全风险,但可能导致网站无法正常浏览。

对于32位系统,在管理命令提示符处输入以下命令:

takeown /f %windir%//system32//jscript/.dll

cacls %windir%//system32//jscript/.dll /E /P everyone:N

对于64位系统,在管理命令提示符处输入以下命令:

takeown /f %windir%//syswow64//jscript/.dll

cacls %windir%//syswow64//jscript/.dll /E /P everyone:N

takeown /f %windir%//system32//jscript/.dll

cacls %windir%//system32//jscript/.dll /E /P everyone:N

实施这些步骤可能会导致依赖jscript.dll的组件功能减少。为了得到完全保护,建议尽快安装此更新。在 安装更新 之前, 请还原缓解步骤以返回到完整状态。

如何撤消临时措施

对于32位系统,在管理命令提示符处输入以下命令:

cacls %windir%//system32//jscript/.dll /E /R everyone   

对于64位系统,在管理命令提示符处输入以下命令:

cacls %windir%//system32//jscript/.dll /E /R everyone    

cacls %windir%//syswow64//jscript/.dll /E /R everyone

雷锋网雷锋网(公众号:雷锋网)雷锋网

雷锋网版权文章,未经授权禁止转载。详情见转载须知

https://www.leiphone.com/news/202001/mXvz4Bitq2gc0n7e.html