Internet Explorer под атакой северокорейских хакеров: что делать

4

По горячим следам эпического раунда исправлений программного обеспечения Microsoft на прошлой неделе появилась новая критическая уязвимость Windows: уязвимость «нулевого дня» в Internet Explorer, которая в настоящее время используется северокорейскими хакерами и для которой пока нет исправлений.

Ваша работа, дорогой читатель, — перестать использовать Internet Explorer во всех версиях Windows. Браузер Microsoft Edge намного лучше и безопаснее, как и Google Chrome и Mozilla Firefox.

Если вам абсолютно необходим IE для какого-либо веб-приложения, которое не будет работать ни в каком другом браузере, то вам следует обязательно использовать IE только в учетной записи с ограниченными правами, которая не может изменять программное обеспечение. (Использование ограниченных учетных записей может быть единственным наиболее эффективным способом защиты вашего ПК.)

Для технически подкованных пользователей Microsoft предоставила несколько сценариев смягчения, которые мы подробно рассмотрим в конце этой статьи. Всем остальным придется подождать полного исправления, которое Microsoft может выпустить только до следующего исправления, вышедшего во вторник 11 февраля. Некоторые из лучших производителей антивирусного программного обеспечения могут найти способы блокировать атаку до этого.

В погоне за Мозиллой

Эта новая уязвимость, по-видимому, связана с недостатком Firefox, который Mozilla исправил ранее в этом месяце и который также подвергся атаке со стороны предположительно той же группы злоумышленников. Исследователи из Qihoo 360, которые обнаружили недостаток Mozilla, сначала опубликовали твит, в котором говорилось, что IE тоже уязвим, а затем быстро удалили его.

В блоге на китайском языке исследователи идентифицировали атакующую группу как DarkHotel, северокорейскую хакерскую группу, которая действует как минимум с 2007 года и специализируется на отслеживании перемещений высокопоставленных деловых путешественников.

В своем публичном сообщении Microsoft заявила, что уязвимость используется в «ограниченных целевых атаках», т. Е. Не против широкой общественности в целом.

Недостаток IE, каталогизированный как CVE-2020-0674, официально затрагивает как поддерживаемые версии браузера, IE 10 и IE 11, так и все версии Windows 10, Windows 8.1 и только что вышедшую в отставку Windows 7 с пакетом обновления 1. Мы « Я предполагаю, что это может повлиять на более ранние, устаревшие версии IE и Windows.

Протяни и убей кого-нибудь

Microsoft незаметно сообщила об уязвимости в конце пятницы (17 января) в своем сообщении, которое, в свою очередь, было обновлено в воскресенье (19 января).

«Удаленное выполнение кода», т. Е. Через Интернет, «существует уязвимость в способе, которым обработчик сценариев обрабатывает объекты в памяти в Internet Explorer», — говорится в рекомендации. «Уязвимость может повредить память таким образом, чтобы злоумышленник мог выполнить произвольный код в контексте текущего пользователя».

Если у текущего пользователя были права администратора, то злоумышленник мог «устанавливать программы; просматривать, изменять или удалять данные; или создавать новые учетные записи с полными правами пользователя».

«В случае атаки через Интернет злоумышленник может разместить специально созданный веб-сайт, предназначенный для использования уязвимости через Internet Explorer, а затем убедить пользователя просмотреть веб-сайт, например, отправив электронное письмо», — говорится в сообщении.

Это расплывчатое описание, тем не менее, согласуется с собственным недостатком нулевого дня в Firefox, имевшим место ранее в этом месяце, который связан с ошибкой в ​​том, как компилятор кода «точно в срок» браузера обрабатывает JavaScript, язык сценариев, который делает веб-сайты интерактивными.

Взрыв из прошлого

Серебряная подкладка заключается в том, что использование недостатка Internet Explorer зависит от наличия устаревшей библиотеки прямых ссылок, называемой jscript.dll. (DLL — это фрагмент кода операционной системы, который хранится независимо, чтобы его могли использовать несколько программ.)

Эта старая библиотека DLL была заменена новой библиотекой с именем jscript9.dll в IE 10 и 11, и эта уязвимость не затрагивает jscript9.dll. Однако более новые браузеры могут загружать jscript.dll, если веб-сайт этого требует, а более старая DLL по-прежнему используется по умолчанию в IE 9 и более ранних версиях в Windows 7.

Как смягчить это из командной строки

Если вам удобно использовать командную строку Windows, вы можете устранить эту уязвимость с помощью пары команд из учетной записи администратора.

Для 32-битной Windows используйте их последовательно:

takeown / f% windir% system32 jscript.dll

cacls% windir% system32 jscript.dll / E / P каждый: N

Для 64-битной Windows используйте эти два И эти два:

takeown / f% windir% syswow64 jscript.dll

cacls% windir% syswow64 jscript.dll / E / P каждый: N

Если вам нужно отменить эти меры, вы можете сделать это в 32-битной Windows с помощью:

cacls% windir% system32 jscript.dll / E / R каждый

Пользователи 64-битной Windows должны были бы запустить это так же как это:

cacls% windir% syswow64 jscript.dll / E / R каждый

  • Как перейти на Windows 10 бесплатно
  • Epic fail: не удалось установить критическое обновление для системы безопасности Windows 10
  • Сотни миллионов кабельных модемов могут быть взломаны из-за недостатка Cable Haunt

(Изображение предоставлено: Shutterstock; Tom's Guide)