CVE-2013-3893

Суть уязвимости

Уязвимость CVE-2013-3893 представляет собой критическую ошибку повреждения памяти (Use-After-Free) в движке рендеринга MSHTML (mshtml.dll), который используется в Microsoft Internet Explorer.

Злоумышленник может создать специально подготовленный веб-сайт и заманить на него пользователя. При обработке вредоносного HTML-кода или JavaScript происходит обращение к освобожденному участку памяти, что позволяет атакующему выполнить произвольный код (RCE) с правами текущего пользователя.

Критическое замечание: Internet Explorer официально признан устаревшим (End-of-Life / End-of-Service). Использование этого браузера в корпоративной среде несет недопустимые риски для информационной безопасности, так как продукт больше не получает патчей для новых уязвимостей.

Как исправить

Поскольку Internet Explorer является EoL-продуктом, единственным надежным и архитектурно верным решением является полный отказ от его использования и удаление компонента из операционной системы.

1. Переведите пользователей на современные браузеры (Microsoft Edge, Google Chrome, Mozilla Firefox).
2. Если для работы устаревших корпоративных порталов требуется совместимость, используйте Режим IE (IE Mode) в Microsoft Edge, который изолирует старый движок.
3. Полностью отключите компонент Internet Explorer 11 в Windows с помощью PowerShell (требуются права администратора):

Disable-WindowsOptionalFeature -FeatureName Internet-Explorer-Optional-amd64 -Online -NoRestart

1. Для 32-битных систем используйте следующую команду:

Disable-WindowsOptionalFeature -FeatureName Internet-Explorer-Optional-x86 -Online -NoRestart

1. Если в инфраструктуре остались старые ОС (Windows 7/8/Server 2008/2012), которые невозможно обновить, убедитесь, что установлен официальный патч от Microsoft MS13-080 (KB2879017). Однако помните, что сами эти ОС также сняты с поддержки.

Временные меры

Если мгновенно удалить Internet Explorer невозможно из-за бизнес-процессов, необходимо максимально ограничить его функциональность для снижения вектора атаки.

1. Отключение Active Scripting (JavaScript/VBScript) Уязвимость активно эксплуатируется через скрипты. Отключите их выполнение для зон "Интернет" и "Местная интрасеть" через реестр:

Set-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3" -Name "1400" -Value 3

1. Блокировка запуска iexplore.exe через AppLocker Запретите пользователям случайный или намеренный запуск браузера, создав запрещающее правило в локальных политиках безопасности или через GPO.

2. Установка уровня безопасности "Высокий" Настройте зону интернета на максимальный уровень безопасности, чтобы заблокировать элементы ActiveX и скрипты:

Set-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3" -Name "CurrentLevel" -Value 12000

1. Использование Microsoft Defender Exploit Guard Убедитесь, что для процесса iexplore.exe включены механизмы защиты от эксплойтов (ASLR, DEP, EAF, Heap Spray Allocation). Это усложнит эксплуатацию уязвимостей класса Use-After-Free.