通告概要
2021年2月4日,韩国安全公司ENKI发布了据称是Lazarus组织针对安全研究人员的攻击活动后续补充分析,提到通过发送MHTML文件诱导目标人员点击并触发后续的Interne Explorer 浏览器相关0day漏洞,以此获取攻击者机器的控制权。该恶意MHTML文件下载后续恶意利用的域名为codevexillium.org,此域名为之前活动所使用的网络基础设施。
奇安信威胁情报中心红雨滴团队第一时间跟进了该漏洞并确认该漏洞存在,鉴于该漏洞目前处于无补丁的0day状态而且已经被发现在野外利用,已构成现实的威胁。奇安信威胁情报中心提醒IE浏览器用户谨慎打开来历不明的文件和链接,暂时使用Chrome、Firefox等浏览器以避免受此漏洞影响。
漏洞概要
漏洞名称 |
Microsoft Interne Explorer远程命令执行漏洞 |
||||
威胁类型 |
远程代码执行 |
威胁等级 |
严重 |
漏洞ID |
暂无 |
利用场景 |
Interne Explorer DOM对象处理中存在一处double free漏洞,点击攻击者构造的恶意链接或文件将导致远程代码执行,从而控制用户系统。 |
||||
受影响系统及应用版本 |
|||||
Microsoft IE11浏览器 |
漏洞描述
Interne Explorer DOM对象处理中存在一处double free漏洞,点击攻击者构造的恶意链接或文件将导致远程代码执行,从而控制用户系统。
影响面评估
多个市场调研机构的数据显示IE浏览器目前在浏览器市场中的占有率较低,目前在3%左右,影响面不是非常大。该漏洞影响Windows下的IE11浏览器,且已存在野外利用事件,奇安信威胁情报中心强烈建议用户在漏洞修补前暂用Chrome、Firefox浏览器。
处置建议
鉴于该漏洞目前处于在野0day漏洞状态,无相应的漏洞补丁,用户采取如下临时解决方案以避免受漏洞所导致风险影响:
-
慎重打开来源不明的文件或网页链接;
-
停止使用IE11这类已经停止开发的浏览器,换用Chrome、Firefox等浏览器。
参考资料
https://enki.co.kr/blog/2021/02/04/ie_0day.html
本文始发于微信公众号(奇安信威胁情报中心):Microsoft IE远程命令执行在野 0day 漏洞通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论