Internet Explorer heeft een kwetsbaarheid die deels als kritiek is geclassificeerd. Het wordt daardoor mogelijk om code op afstand uit te voeren. Op dit moment helpt alleen een workaround.
Op vrijdag 17 januari heeft Microsoft een beveiligingsadvies voor een zero-day-exploit in Internet Explorer gepubliceerd. De kwetsbaarheid in de jscript.dll-bibliotheek maakt het mogelijk om kwaadaardige code op afstand uit te voeren. Internet Explorer, die al verouderd is, maakt deel uit van alle Microsoft Windows besturingssystemen, en de script-engines die door de browser en afhankelijke componenten worden gebruikt, worden herhaaldelijk blootgesteld aan beveiligingslekken.
Een week geleden was er al een korte melding van de Chinese security-provider Qihoo 360 over een zero-day-exploit in Internet Explorer op Twitter. De tweet werd kort daarna blijkbaar verwijderd. Microsoft heeft updates uitgebracht voor Internet Explorer en enkele onderdelen voor de laatste patchday op 14 januari 2020. Maar blijkbaar was er geen tijd om een zero-day-exploit in jscript.dll te repareren.
Code-uitvoering op afstand
In het ADV200001-beveiligingsadvies dat vrijdagavond is uitgebracht, verwijst Microsoft naar de zero-day-exploit in Internet Explorer. Er is een bug in de JScrip-scripting-engine die door Internet Explorer wordt gebruikt en die een geheugenfout (Memory Corruption) kan veroorzaken bij het verwerken van script-objecten. Microsoft noemt Internet Explorer versies 9 tot 11 in het security-advies van alle bijgewerkte versies van Windows (clients en servers). Afhankelijk van de Windows-versie wordt de classificatie matig of kritiek gegeven.
Aanvallers die deze exploits uitbuiten, zouden dan eventueel code kunnen uitvoeren in naam van de huidige gebruiker. Voor gebruikers die onder administratoraccounts werken, zou dit betekenen dat de aanvaller theoretisch programma’s kan installeren, nieuwe gebruikersaccounts kan aanmaken en zelfs bestanden kan manipuleren en zo het systeem kan overnemen.
Omdat het om de JScript.dll-scripting-engine gaat, zou een aanvaller die de details van de exploit kent een geprepareerde website kunnen maken. Dan kan een e-mail met een link naar die website worden verstuurd om gebruikers te verleiden daar een bezoek aan te brengen en vervolgens aan te vallen. Aangezien Internet Explorer samen met de scripting-engine in alle versies van Windows zit, zou dat een effectieve aanvalsmethode kunnen zijn.
Exploiteerbaarheid is beperkt
Gelukkig voor Microsoft- en Windows-gebruikers is de exploiteerbaarheid van deze kwetsbaarheid echter beperkt. Standaard gebruiken Internet Explorer versies 9, 10 en 11 de scripting-engine van het Jscript9.dll-bestand, maar die kwetsbaarheid heeft geen invloed op dat bestand. Alleen bepaalde websites die JScript als scripting-engine gebruiken worden beïnvloed, maar dat zal een aanvaller er niet van weerhouden om een website met de juiste JScript-objecten te prepareren.
Microsoft classificeert de exploit, die in alle ondersteunde Windows systemen bestaat, als kritiek voor sommige versies van Windows, maar zo kritiek is het aan de andere kant ook weer niet. Standaard draait Internet Explorer namelijk in beperkte modus op Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 en Windows Server 2019.
Zolang beheerders daarvan de veilige modus niet uitschakelen bij de IE-opties als onderdeel van de Enhanced Security Configuration, worden externe webpagina’s in een aparte internetzone behandeld. In de beperkte modus hebben externe webpagina’s weinig rechten, waardoor programma’s niet kunnen worden uitgevoerd. Dat verkleint de kans dat een gebruiker of beheerder speciaal ontworpen webcontent downloadt en uitvoert in Internet Explorer. Dat veronderstelt echter dat (mogelijk gecompromitteerde) websites niet worden toegevoegd aan de Trusted-Sites-zone in Internet Explorer.
Workaround: schakel de scripting-engine uit
Aangezien er momenteel geen beveiligingsupdate beschikbaar is voor deze kwetsbaarheid en het soms als kritiek wordt beschouwd, heeft Microsoft instructies gepubliceerd voor het uitschakelen van de scripting-engine in het bestand JScript.dll als een workaround. Daarvoor moet je de volgende commando’s uitvoeren in een opdrachtprompt met administratieve rechten bij een 32-bit Windows:
takeown /f %windir%\system32\jscript.dll
cacls %windir%\system32\jscript.dll /E /P everyone:N
Bij een 64-bit Windows moet je de volgende vier commando’s uitvoeren in een opdrachtprompt met administratieve rechten:
takeown /f %windir%\syswow64\jscript.dll
cacls %windir%\syswow64\jscript.dll /E /P everyone:N
takeown /f %windir%\system32\jscript.dll
cacls %windir%\system32\jscript.dll /E /P everyone:N
Het is aan te raden om het commando op te slaan in een .bat-bestand met behulp van een editor en vervolgens een pause-commando in te voegen aan het einde. Vervolgens kun je het batchbestand starten via het contextmenu als administrator. Het opdrachtpromptvenster blijft open totdat er op een toets wordt gedrukt. Daarmee kun je de status van elk commando controleren.
