Kritische Sicherheitslücke im Internet Explorer: Workaround anwenden oder anderen Browser verwenden Warnung vom N-CERT
Warnung des N-CERT:
Microsoft hat außerhalb des monatlichen Patch-Zyklus ein Security Advisory mit Workarounds für eine kritische Sicherheitslücke in der Scripting Engine des Internet Explorers veröffentlicht. Diese Schwachstelle soll bereits aktiv ausgenutzt werden.
Durch Ausnutzen der kritischen Lücke kann ein Angreifer laut Microsoft beliebigen Code auf betroffenen Systemen ausführen (mit den Rechten des angemeldeten Benutzers). Damit sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme gefährdet.
Betroffen sind Systeme, auf denen Microsoft Internet Explorer in den Versionen 9, 10, 11 installiert ist.
Abhilfe schaffen derzeit nur der Einsatz eines alternativen Browsers sowie der folgende Workaround:
Beschränkung des Zugriffs auf JScript.dll
Für 32-bit Systeme durch Eingabe der folgenden Befehle (mit Administratorrechten):
takeown /f %windir%\system32\jscript.dll cacls %windir%\system32\jscript.dll /E /P everyone:N
Für 64-bit Systeme durch Eingabe der folgenden Befehle (mit Administratorrechten):
takeown /f %windir%\syswow64\jscript.dll cacls %windir%\syswow64\jscript.dll /E /P everyone:N takeown /f %windir%\system32\jscript.dll cacls %windir%\system32\jscript.dll /E /P everyone:N
Hinweis: Dies führt unter Umständen zu Einschränkungen der Funktionalität von Komponenten und Features, welche die Bibliothek jscript.dll benötigen, laut Recherche sollen u.a. betroffen sein:
- Print-to-PDF funktioniert nicht
- Media-Player 4 funktioniert nicht
- mmc.exe (MS Microsoft Management Console) funktioniert nicht
- In Abhängigkeiten von Treibern funktioniert das Drucken auf HP-Druckern nicht
Diese Einschränkungen können abgemildert werden, indem man die DLL nicht komplett sperrt, sondern nur den Schreibzugriff entzieht.
Dies muss vor Einspielen der Patches – sobald diese verfügbar sind – wieder rückgängig gemacht werden:
Für 32-bit Systeme durch Eingabe der folgenden Befehle (mit Administratorrechten):
cacls %windir%\system32\jscript.dll /E /R everyone
Für 64-bit Systeme durch Eingabe der folgenden Befehle (mit Administratorrechten):
cacls %windir%\system32\jscript.dll /E /R everyone cacls %windir%\syswow64\jscript.dll /E /R everyone
Das N-CERT empfiehlt betroffene Versionen des Internet Exploxers ohne Umsetzung des Workarounds nicht mehr zu nutzen.
Quellen:
CVE-Nummer: CVE-2020-0674
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200001
https://kb.cert.org/vuls/id/338824/
https://www.reddit.com/r/blueteamsec/comments/equ1hq/cve20200674_microsoft_internet_explorer_0day/