Internet Explorer: zero-day-exploit in JScript scripting-engine

Noud van Kruysbergen
0

Internet Explorer heeft  een kwetsbaarheid die deels als kritiek is geclassificeerd. Het wordt daardoor mogelijk om code op afstand uit te voeren. Op dit moment helpt alleen een workaround.

Op vrijdag 17 januari heeft Microsoft een beveiligingsadvies voor een zero-day-exploit in Internet Explorer gepubliceerd. De kwetsbaarheid in de jscript.dll-bibliotheek maakt het mogelijk om kwaadaardige code op afstand uit te voeren. Internet Explorer, die al verouderd is, maakt deel uit van alle Microsoft Windows besturingssystemen, en de script-engines die door de browser en afhankelijke componenten worden gebruikt, worden herhaaldelijk blootgesteld aan beveiligingslekken.

Een week geleden was er al een korte melding van de Chinese security-provider Qihoo 360 over een zero-day-exploit in Internet Explorer op Twitter. De tweet werd kort daarna blijkbaar verwijderd. Microsoft heeft updates uitgebracht voor Internet Explorer en enkele onderdelen voor de laatste patchday op 14 januari 2020. Maar blijkbaar was er geen tijd om een zero-day-exploit in jscript.dll te repareren.

Code-uitvoering op afstand

In het ADV200001-beveiligingsadvies dat vrijdagavond is uitgebracht, verwijst Microsoft naar de zero-day-exploit in Internet Explorer. Er is een bug in de JScrip-scripting-engine die door Internet Explorer wordt gebruikt en die een geheugenfout (Memory Corruption) kan veroorzaken bij het verwerken van script-objecten. Microsoft noemt Internet Explorer versies 9 tot 11 in het security-advies van alle bijgewerkte versies van Windows (clients en servers). Afhankelijk van de Windows-versie wordt de classificatie matig of kritiek gegeven.

Aanvallers die deze exploits uitbuiten, zouden dan eventueel code kunnen uitvoeren in naam van de huidige gebruiker. Voor gebruikers die onder administratoraccounts werken, zou dit betekenen dat de aanvaller theoretisch programma’s kan installeren, nieuwe gebruikersaccounts kan aanmaken en zelfs bestanden kan manipuleren en zo het systeem kan overnemen.

Omdat het om de JScript.dll-scripting-engine gaat, zou een aanvaller die de details van de exploit kent een geprepareerde website kunnen maken. Dan kan een e-mail met een link naar die website worden verstuurd om gebruikers te verleiden daar een bezoek aan te brengen en vervolgens aan te vallen. Aangezien Internet Explorer samen met de scripting-engine in alle versies van Windows zit, zou dat een effectieve aanvalsmethode kunnen zijn.

Exploiteerbaarheid is beperkt

Gelukkig voor Microsoft- en Windows-gebruikers is de exploiteerbaarheid van deze kwetsbaarheid echter beperkt. Standaard gebruiken Internet Explorer versies 9, 10 en 11 de scripting-engine van het Jscript9.dll-bestand, maar die kwetsbaarheid heeft geen invloed op dat bestand. Alleen bepaalde websites die JScript als scripting-engine gebruiken worden beïnvloed, maar dat zal een aanvaller er niet van weerhouden om een website met de juiste JScript-objecten te prepareren.

Microsoft classificeert de exploit, die in alle ondersteunde Windows systemen bestaat, als kritiek voor sommige versies van Windows, maar zo kritiek is het aan de andere kant ook weer niet. Standaard draait Internet Explorer namelijk in beperkte modus op Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 en Windows Server 2019.

Zolang beheerders daarvan de veilige modus niet uitschakelen bij de IE-opties als onderdeel van de  Enhanced Security Configuration, worden externe webpagina’s in een aparte internetzone behandeld. In de beperkte modus hebben externe webpagina’s weinig rechten, waardoor programma’s niet kunnen worden uitgevoerd. Dat verkleint de kans dat een gebruiker of beheerder speciaal ontworpen webcontent downloadt en uitvoert in Internet Explorer. Dat veronderstelt echter dat (mogelijk gecompromitteerde) websites niet worden toegevoegd aan de Trusted-Sites-zone in Internet Explorer.

Workaround: schakel de scripting-engine uit

Aangezien er momenteel geen beveiligingsupdate beschikbaar is voor deze kwetsbaarheid en het soms als kritiek wordt beschouwd, heeft Microsoft instructies gepubliceerd voor het uitschakelen van de scripting-engine in het bestand JScript.dll als een workaround. Daarvoor moet je de volgende commando’s uitvoeren in een opdrachtprompt met administratieve rechten bij een 32-bit Windows:

takeown /f %windir%\system32\jscript.dll
cacls %windir%\system32\jscript.dll /E /P everyone:N

Bij een 64-bit Windows moet je de volgende vier commando’s uitvoeren in een opdrachtprompt met administratieve rechten:

takeown /f %windir%\syswow64\jscript.dll
cacls %windir%\syswow64\jscript.dll /E /P everyone:N
takeown /f %windir%\system32\jscript.dll
cacls %windir%\system32\jscript.dll /E /P everyone:N

Het is aan te raden om het commando op te slaan in een .bat-bestand met behulp van een editor en vervolgens een pause-commando in te voegen aan het einde. Vervolgens kun je het batchbestand starten via het contextmenu als administrator. Het opdrachtpromptvenster blijft open totdat er op een toets wordt gedrukt. Daarmee kun je de status van elk commando controleren.

 

 

c't okt/2020

Deel dit artikel

Lees ook

webtip: Fagan Finder voor het diepgravende zoekwerk

Ben je online diep naar iets aan het graven maar krijg je het maar niet boven water? Op ­faganfinder.com staat een enorme collectie zoektools opgesomd...

Nieuwe gaminggear van Asus Republic of Gamers

Republic of Gamers (ROG), de gaming divisie van Asus, heeft op zijn Meta Buffs online launch event een nieuwe line-up van gaminggear aangekondigd.

0 Praat mee
avatar
  Abonneer  
Laat het mij weten wanneer er