21. Januar 2020 | | 0 Kommentare

Kritische Sicherheitslücke im Internet Explorer: Workaround anwenden oder anderen Browser verwenden Warnung vom N-CERT

Warnung des N-CERT:

Microsoft hat außerhalb des monatlichen Patch-Zyklus ein Security Advisory mit Workarounds für eine kritische Sicherheitslücke in der Scripting Engine des Internet Explorers veröffentlicht. Diese Schwachstelle soll bereits aktiv ausgenutzt werden.

Durch Ausnutzen der kritischen Lücke kann ein Angreifer laut Microsoft beliebigen Code auf betroffenen Systemen ausführen (mit den Rechten des angemeldeten Benutzers). Damit sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme gefährdet.

Betroffen sind Systeme, auf denen Microsoft Internet Explorer in den Versionen 9, 10, 11 installiert ist.

Abhilfe schaffen derzeit nur der Einsatz eines alternativen Browsers sowie der folgende Workaround:

Beschränkung des Zugriffs auf JScript.dll

Für 32-bit Systeme durch Eingabe der folgenden Befehle (mit Administratorrechten):

    takeown /f %windir%\system32\jscript.dll
    cacls %windir%\system32\jscript.dll /E /P everyone:N

Für 64-bit Systeme durch Eingabe der folgenden Befehle (mit Administratorrechten):

    takeown /f %windir%\syswow64\jscript.dll
    cacls %windir%\syswow64\jscript.dll /E /P everyone:N
    takeown /f %windir%\system32\jscript.dll
    cacls %windir%\system32\jscript.dll /E /P everyone:N

 

Hinweis: Dies führt unter Umständen zu Einschränkungen der Funktionalität von Komponenten und Features, welche die Bibliothek jscript.dll benötigen, laut Recherche sollen u.a. betroffen sein:

  • Print-to-PDF funktioniert nicht
  • Media-Player 4 funktioniert nicht
  • mmc.exe (MS Microsoft Management Console) funktioniert nicht
  • In Abhängigkeiten von Treibern funktioniert das Drucken auf HP-Druckern nicht

Diese Einschränkungen können abgemildert werden, indem man die DLL nicht komplett sperrt, sondern nur den Schreibzugriff entzieht.

Dies muss vor Einspielen der Patches – sobald diese verfügbar sind – wieder rückgängig gemacht werden:

Für 32-bit Systeme durch Eingabe der folgenden Befehle (mit Administratorrechten):

    cacls %windir%\system32\jscript.dll /E /R everyone

Für 64-bit Systeme durch Eingabe der folgenden Befehle (mit Administratorrechten):

    cacls %windir%\system32\jscript.dll /E /R everyone   
    cacls %windir%\syswow64\jscript.dll /E /R everyone

Das N-CERT empfiehlt betroffene Versionen des Internet Exploxers ohne Umsetzung des Workarounds nicht mehr zu nutzen.

Quellen:

CVE-Nummer: CVE-2020-0674

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200001

https://kb.cert.org/vuls/id/338824/

https://www.reddit.com/r/blueteamsec/comments/equ1hq/cve20200674_microsoft_internet_explorer_0day/

Kommentar verfassen