مایکروسافت در مورد یک نقص روز صفر وصله نشده در مرورگر IE که تحت حمله فعال قرار دارد، هشدار داد.

مایکروسافت در تاریخ ۱۸ ژانویه ۲۰۲۰ یک هشدار امنیتی اضطراری را برای میلیون‌ها کاربر ویندوز در مورد یک آسیب‌پذیری روز صفر جدید در مرورگر اینترنت اکسپلورر منتشر کرد که مهاجمان به‌طور فعال از آن در اینترنت بهره‌برداری کردند و هنوز هیچ وصله‌ای برای آن منتشر نشده است.

این آسیب‌پذیری که با عنوان CVE-2020-0674 شناخته می‌شود در دسته‌بندی آسیب‌پذیری‌های متوسط قرار دارد و یک نقص اجرای کد از راه دور است که در روشی قرار دارد که موتور اسکریپت اشیاء را در حافظه اینترنت اکسپلورر مدیریت می‌کند و از طریق کتابخانه JScript.dll فعال می‌شود.

یک مهاجم از راه دور می‌تواند کد دلخواه را روی کامپیوترهای مورد هدف اجرا کند و کنترل کامل آن‌ها را در اختیار گیرد. مهاجم تنها با متقاعد کردن قربانیان به باز کردن یک صفحه وب دستکاری‌شده روی مرورگر مایکروسافت از این نقص بهره‌برداری می‌کند.

در گزارش منتشرشده آمده است: “این آسیب‌پذیری می‌تواند حافظه را به‌گونه‌ای خراب کند که یک مهاجم بتواند کد دلخواه را در متن کاربر فعلی اجرا کند. مهاجمی که با موفقیت از این آسیب‌پذیری بهره‌برداری کرده است می‌تواند همان سطح دسترسی کاربر فعلی را به دست آورد.”

“اگر کاربر فعلی با سطح دسترسی ادمین وارد سیستم شده باشد، مهاجمی که با موفقیت از این آسیب‌پذیری بهره‌برداری کرده است می‌تواند کنترل یک سیستم آسیب‌دیده را به دست گیرد. یک مهاجم می‌تواند برنامه‌ها را نصب یا مشاهده کند یا آن‌ها را تغییر داده و یا داده‌ها را حذف کند یا حتی یک کاربر جدید با سطح دسترسی ادمین ایجاد کند.”

مایکروسافت از “حملات هدفمند محدود” در سطح اینترنت آگاه است و در حال کار برای برطرف کردن این آسیب‌پذیری است اما تا زمانی که یک وصله برای آن منتشر شود، کاربران آسیب‌دیده باید از راه‌حل‌های موقت استفاده کنند تا سیستم‌های آسیب‌پذیر آن‌ها از حمله سایبری در امان باشند.

نرم‌افزارهای مرورگر وب تحت تأثیر شامل اینترنت اکسپلورر نسخه‌های ۹، ۱۰ و ۱۱ است که روی تمام نسخه‌های ویندوز ۱۰، ویندوز ۸٫۱ و ویندوز ۷ که اخیراً پشتیبانی از آن به پایان رسیده است، اجرا می‌شود.

راه‌حل‌ها: مقابله در برابر حملات تا زمانی که یک وصله منتشر شود.

طبق گزارش منتشرشده، جلوگیری از load شدن کتابخانه JScript.dll می‌تواند به‌صورت دستی مانع بهره‌برداری از این آسیب‌پذیری شود.

برای محدود کردن دسترسی به JScript.dll، دستورات زیر را در سیستم ویندوز خود با امتیازات مدیر اجرا کنید.

برای سیستم‌های ۳۲ بیتی:

takeown / f% windir% \ system32 \ jscript.dll
cacls% windir% \ system32 \ jscript.dll / E / P everyone: N

برای سیستم‌های ۶۴ بیتی:

takeown / f% windir% \ syswow64 \ jscript.dll
cacls% windir% \ syswow64 \ jscript.dll / E / P everyone: N
takeown / f% windir% \ system32 \ jscript.dll
cacls% windir% \ system32 \ jscript.dll / E / P everyone: N

هنگامی‌که وصله موردنظر منتشر شد، کاربران باید با استفاده از دستورات زیر، این راه‌حل را خنثی کنند.

برای سیستم‌های ۳۲ بیتی:

cacls %windir%\system32\jscript.dll /E /R everyone

برای سیستم‌های ۶۴ بیتی:

cacls %windir%\system32\jscript.dll /E /R everyone
cacls %windir%\syswow64\jscript.dll /E /R everyone

لازم به ذکر است، برخی از وب‌سایت‌ها یا ویژگی‌ها ممکن است بعد از غیرفعال کردن کتابخانه آسیب‌پذیر JScript.dll که به این مؤلفه متکی است، دچار مشکل شوند. بنابراین، کاربران باید به‌محض انتشار وصله‌ها، این به‌روزرسانی‌ها را نصب کنند.

منابع

[۱] https://thehackernews.com/2020/01/internet-explorer-zero-day-attack.html