标题: CVE-2020-0674(Microsoft IE jscript远程命令执行0day漏洞)

https://scz.617.cn/windows/202003030000.txt

2020-03-03 stardust

该漏洞是微软IE浏览器的JavaScript组件中的一处内存破坏漏洞，成功利用将使攻击
者以当前用户的上下文执行任意代码。系统存在此漏洞的受影响的用户，如果访问
Office文档、邮件或其他来源的恶意链接可能导致机器被控制。

可以通过以下方式限制对漏洞模块jscript.dll的访问，从而避免相关攻击，但是这
一操作有可能会导致网站部分使用到该模块的功能缺失或客户端系统的功能(比如打
印服务)受影响。

--------------------------------------------------------------------------
x86系统通过以下命令限制对jscript.dll的访问:

takeown /f %windir%\system32\jscript.dll
cacls %windir%\system32\jscript.dll /E /P everyone:N
--------------------------------------------------------------------------
x86系统通过以下命令撤销前述操作:

cacls %windir%\system32\jscript.dll /E /R everyone
--------------------------------------------------------------------------
x64系统通过以下命令限制对jscript.dll的访问:

takeown /f  %windir%\syswow64\jscript.dll
cacls %windir%\syswow64\jscript.dll /E /P everyone:N

takeown /f  %windir%\system32\jscript.dll
cacls %windir%\system32\jscript.dll /E /P everyone:N
--------------------------------------------------------------------------
x64系统通过以下命令撤销前述操作:

cacls %windir%\system32\jscript.dll /E /R everyone
cacls %windir%\syswow64\jscript.dll /E /R everyone
--------------------------------------------------------------------------

在x64/Win7上采集信息:

$ cacls %windir%\system32\jscript.dll
C:\Windows\system32\jscript.dll BUILTIN\Administrators:F
                                NT AUTHORITY\SYSTEM:F
                                NT AUTHORITY\Authenticated Users:C
                                BUILTIN\Users:R

$ cacls %windir%\system32\jscript.dll /S
C:\Windows\system32\jscript.dll "D:(A;;FA;;;BA)(A;;FA;;;SY)(A;;0x1301bf;;;AU)(A;;0x1200a9;;;BU)"

$ icacls %windir%\system32\jscript.dll
C:\Windows\system32\jscript.dll BUILTIN\Administrators:(F)
                                NT AUTHORITY\SYSTEM:(F)
                                NT AUTHORITY\Authenticated Users:(M)
                                BUILTIN\Users:(RX)