RCE Kwetsbaarheid in Windows Internet Explorer 9 tot en met 11 (CVE-2018-8653)
CVE-2018-8653
Bronnen
https://thehackernews.com/2018/12/internet-explorer-zero-day.html
https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/ie-scripting-flaw-still-a-threat-to-unpatched-systems-analyzing-cve-2018-8653/
Risico’s
Als resultaat van succesvolle exploitatie is het mogelijk om code van de aanvaller uit te voeren met de privileges van de gebruiker. Als deze gebruiker een administrator is kan het volledige systeem gecompromitteerd worden.
Proof-of-Concept code is al online beschikbaar, dus deze kwetsbaarheid word best als HOOG RISICO behandeld.
Beschrijving
Microsoft heeft een kritieke kwetsbaarheid aangepakt in een recente advisory, betreffende Internet Explorer. De kwetsbaarheid word reeds misbruikt op het internet, en is te wijten aan een fout in de JScript engine.
De kwetsbaarheid kan geëxploiteerd worden door middel van webpagina’s of Word-, PDF- of andere documenten die IE scripting code kunnen bevatten, alsook mogelijke andere vectoren.
Aanbevolen acties
CERT.be raad aan om Windows zo snel mogelijk te updaten. Dit zou automatisch moeten gebeuren als u de automatische update functie aan heft staan, of kan manueel gedaan worden via: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8653
Hoewel we dit niet aanraden, indien u niet kan patchen is het nog steeds mogelijk om de aanval te voorkomen. Dit kan u verwezenlijken door er voor te zorgen dat het gebruiken van jscript.dll administratorrechten vereist. Door dit te doen zal Internet Explorer Jscript9.dll gebruiken in plaats van jscript.dll, waardoor de kwetsbaarheid niet misbruikt kan worden. Het nadeel van deze methode is dat sommige pagina’s niet zullen laden.
For 32-bit System — cacls %windir%\system32\jscript.dll /E /P everyone:N
For 64-bit System — cacls %windir%\syswow64\jscript.dll /E /P everyone:N