# 主題 :熱騰騰的 "CVE-2014-1776" 0day
## 漏洞發布時間 :
2014/4/26
## 影響範圍:
除了 Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, and Windows Server 2012 R2 外的所有 windows 系統上的 IE6~IE11 全系列中獎 !
## 微軟官方對此漏洞的解釋 :
"The vulnerability is a remote code execution vulnerability. The vulnerability exists in the way that Internet Explorer accesses an object in memory that has been deleted or has not been properly allocated. The vulnerability may corrupt memory in a way that could allow an attacker to execute arbitrary code in the context of the current user within Internet Explorer. An attacker could host a specially crafted website that is designed to exploit this vulnerability through Internet Explorer and then convince a user to view the website."
## 內容 :
該漏洞是一個遠端執行代碼的漏洞。該漏洞發生在在Internet Explorer讀取已被刪除或沒有被正確地分配在記憶體中的物件時。這漏洞可能是利用 Memory corruption的方式讓攻擊者可能可以對目前使用Internet Explorer的使用者電腦執行任意代碼。
微軟官方目前還在研究調查此漏洞,並建議使用者開啟防火牆和安裝安全軟體,也會在之後推出新的安全性更新,但須注意的是!
Windows XP 並不會在此次更新內,使用 XP 的用戶應該考慮升級您的作業系統或是先不使用 Internet Explorer。
而目前除了 Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, and Windows Server 2012 R2 因為有 Enhanced Security Configuration 所以並不會遭受此漏洞的影響,其餘 Windows 系統皆會遭使漏洞影響。
## 漏洞可能的利用方式 :
攻擊者可能設計一個釣魚網站,之後利用 社交網路 或是 釣魚信件 誘使用者查看該釣魚網站,再通過 Internet Explorer利用此漏洞取得與當前用戶的同權限的帳戶,並進一步刪除/更改/新增 使用者電腦內的資料 或是 再利用其他漏洞新增一個擁有最高權限的帳戶。
目前因為該漏洞屬於 0day 尚未有相關安全性更新修補
建議使用者可以先參考 微軟官方 的建議措施。
## 微軟官方現階段的建議措施 :
- 安裝 Enhanced Mitigation Experience Toolkit 4.1 (EMET) 利用額外的保護來防堵此漏洞攻擊
![fds.PNG](http://user-image.logdown.io/user/5422/blog/5438/post/196053/aZG2HqGLQEaDTf0pSTGq_fds.PNG)
[何謂 EMET ?](https://support.microsoft.com/kb/2458544)
**注意! EMET 3.0 並不能防範此漏洞**
[**EMET也有遭 bypass 的風險**](http://piotrbania.com/all/articles/anti_emet_eaf.txt)
- 將Internet(網際網路 )和 Local intranet (近端內部網路)安全性設置設為“高”,以阻止ActiveX Controls 和 Active Scripting被執行
![f54.PNG](http://user-image.logdown.io/user/5422/blog/5438/post/196053/pvulUhAcS4iifpnalFfv_f54.PNG)
![tt.PNG](http://user-image.logdown.io/user/5422/blog/5438/post/196053/iYhM5quSPi4FSs7u8gNT_tt.PNG)
- 設定 Internet Explorer中執行 Active Scripting 前提示或禁用 Active Scripting在Internet(網際網路 )和 Local intranet (近端內部網路)
![gggt.PNG](http://user-image.logdown.io/user/5422/blog/5438/post/196053/Iw9XpqZXTxiFlRA9feAK_gggt.PNG)
- 移除 VGX.DLL
windows鍵 + R > "執行" > 輸入 "%SYSTEMROOT%\ SYSTEM32 \ Regsvr32.exe的”-U“%COMMONPROGRAMFILES%\微軟共享\ VGX \ vgx.dll" > "確定"
![gt6.PNG](http://user-image.logdown.io/user/5422/blog/5438/post/196053/62rto3QTShy89S8NLTkc_gt6.PNG)
- 開啟適用於 64位元系統下 Internet Explorer 11 的 Enhanced Protected Mode
![67j.PNG](http://user-image.logdown.io/user/5422/blog/5438/post/196053/z8Mnz5mQuK4IP1vqbItp_67j.PNG)
除了採取以上措施,也建議使用者關注微軟官方的更新,隨時將您的 Windows 系統更新到最新狀態並且安裝安全軟體。
資料來源 :[https://technet.microsoft.com/en-us/library/security/2963983.aspx](https://technet.microsoft.com/en-us/library/security/2963983.aspx)
更詳細的攻擊技術分析 : (由 Fireeye 公司分析)
[http://www.fireeye.com/blog/uncategorized/2014/04/new-zero-day-exploit-targeting-internet-explorer-versions-9-through-11-identified-in-targeted-attacks.html](http://www.fireeye.com/blog/uncategorized/2014/04/new-zero-day-exploit-targeting-internet-explorer-versions-9-through-11-identified-in-targeted-attacks.html)
訂閱:
張貼留言 (Atom)
2024年 10 月份資安、社群活動分享
2024年 10 月份資安、社群活動分享 Self-Taught Coding Tuesdays - Study, Code, Design, Build, Network 2024/10/1 https://www.meetup.com/taiwan-code-camp/...
-
2023年 12月份資安、社群活動分享 零信任身份認證與存取控管 2023/12/1 https://web.tabf.org.tw/page/407020/course11.htm 線上資安專題講座-以攻擊策略演練角度協助企業評估、強化與呈現資安投資成效 2023/12/...
-
2024年 3月份資安、社群活動分享 線上資安人力需求對談-網路通信產業 2024/3/2 https://isipevent.kktix.cc/events/ff6f2146 2024H1資安實戰演練大會AI爆發時代的企業資安聯合軍演 2024/3/6 https://b...
-
2024年 2月份資安、社群活動分享 Taipei All About API Meetup Group - Meet and Greet, 01 Feb 2024, 07:00 PM 2024/2/1 https://www.meetup.com/taipei-all-a...
沒有留言:
張貼留言