[NCSC-varsel] Nulldagssårbarhet i Internet Exlporer (CVE-2020-0674)
NSM NCSC har i det siste mottatt flere henvendelser knyttet til nulldagssårbarheten i Microsoft Windows Jscript-motoren. Sårbarheten har fått CVE-nummer CVE-2020-0674.
Denne sårbarheten kan utnyttes av en trusselaktør til å kompromittere et system via Internet Explorer. Dette utføres ved å få en bruker til å besøke en nettside som inneholder den ondsinnede JavaScript-koden. Denne koden kan kjøre maskinkode som vil gi en aktør muligheten til å kjøre vilkårlig kode.
Sårbarheten eksisterer i hvordan Internet Explorer sin skriptmotor, Jscript, håndterer objekter i minne. En vellykket angriper kan oppnå fjernkjøring av kode med rettigheten til den påloggede brukeren. Denne koden vil kjøre i samme kontekst som Internet Explorer.
Microsoft opplyser at de har observert bruk av sårbarheten i begrensede målrettede angrep. NCSC er ikke kjent utnyttelse av denne sårbarheten i Norge eller andre utnyttelser ut over Microsofts uttalelse.
NCSC anser det som sannsynlig at utnyttelseskode vil bli tilgjengelig i løpet av kort tid. På bakgrunn av dette ønsker vi å adressere denne sårbarheten.
Anbefalte tiltak:
- -----------------
Microsoft har publisert en advisory som inneholder mulige tiltak. Kort oppsummert så går disse tiltakene ut på å begrense tilgangen til "jscript.dll" [1].
Det er verdt å nevne at Microsoft påpeker at å ta dette tiltaket i bruk kan redusere funksjonaliteten på systemet eller påvirke andre komponenter som bruker "jscript.dll" sin funksjonalitet. NCSC har også mottatt informasjon om at tiltakene Microsoft anbefaler kan føre til slike feil.
Det er også viktig å påpeke at tiltakene til Microsoft virker forskjellig avhengig av hvilket språk som er standard på Windows. Eksempelvis vil følgende kommando ikke fungere på et system hvor norsk språk er satt:
- cacls C:\Windows\System32\jscript.dll /E /P everyone:N
Kommandoen vil returnere:
- "Ingen tilordninger ble gjort mellom kontonavn og sikkerhets-IDer."
En riktig kommando på et norsk system vil være:
- cacls C:\Windows\System32\jscript.dll /E /P alle:N
Som vil returnere
- "Processed file: c:\Windows\System32\jscript.dll"
Andre mulige tiltak er å begrense bruken av Internet Explorer.
For de med klientovervåkning som støtter dette kan det være aktuelt å skru på ekstra overvåkning på Internet Explorer. Eksempelvis kan man overvåke barneprosesser av Internet Explorer eller segmenter i minne med rettigheter til å lese, skrive og eksekvere (RWX).
Berørte versjoner:
- ------------------
- - Internet Explorer 11
- Windows 10, versjoner 1607, 1709, 1803, 1809, 1903
- Windows Server 2019
- Windows Server 2016
- Windows 7 SP1
- Windows 8.1
- Windows RT 8.1
- Windows Server 2012 og 2012 R2
- Windows Server 2008
- - Internet Explorer 10
- Windows Server 2012
- - Internet Explorer 9
- Windows Server 2008 SP2
Patch:
- ------
På nåværende tidspunkt finnes det ingen oppdatering som adresserer denne sårbarheten ut over tiltakene skissert av Microsoft. Oppdateringer forventes å komme som en del av Microsoft sine vanlige runder med oppdateringer den andre tirsdagen i måneden. Således kan patch forventes 11. februar.
Puls:
- -----
NCSC har besluttet å heve pulsen til nivå to (2).
Referanser:
- -----------
[1] https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV200001