CVE-2019-1367

Суть уязвимости

Уязвимость (CVE-2019-1367) — это ошибка в механизме обработки памяти (memory corruption) в движке сценариев (JScript) Microsoft Internet Explorer. Злоумышленник может создать специальную веб-страницу, которая при открытии в уязвимой версии браузера приводит к повреждению памяти. Это позволяет выполнить произвольный вредоносный код с правами текущего пользователя.

Как это используют: * Злоумышленник размещает на сайте вредоносную страницу или встраивает эксплоит в рекламную сеть. * Жертва открывает эту страницу в Internet Explorer. * Происходит выполнение кода на компьютере жертвы (например, установка бэкдора, шифрование файлов).

Как исправить

Основное решение — установить официальный патч от Microsoft. Уязвимость затрагивает Internet Explorer 9, 10 и 11 на поддерживаемых версиях Windows.

1. Установите обновление безопасности от Microsoft: * Для Windows 10, 8.1, 7 (SP1) и соответствующих серверных ОС установите накопительное обновление безопасности за октябрь 2019 года. * Конкретный номер обновления (KB) зависит от вашей версии ОС и разрядности. Найдите его в официальном бюллетене MSFT: CVE-2019-1367 | Security Update Guide. * Пример для Windows 10 (1903) x64: KB4517389.

2. Установите обновление через Центр обновления Windows:

# В командной строке с правами администратора запустите:
wuauclt /detectnow /updatenow

Затем проверьте и установите доступные обновления в Параметры Windows -> Обновление и безопасность.

3. Для систем под управлением WSUS/SCCM: Утвердите и разверните соответствующий патч из категории Security Updates for October 2019.

Временное решение

Если немедленная установка патча невозможна, примите следующие меры для снижения риска:

1. Ограничьте использование Internet Explorer: * Настройте политики для блокировки доступа к IE через AppLocker или SRP. * Установите и назначьте основным браузером Microsoft Edge (Chromium) или другой современный браузер.

2. Настройте Enhanced Protected Mode (только для IE 11): * В настройках IE (Сервис -> Свойства браузера -> Дополнительно) включите пункт "Включить расширенный защищенный режим". * Примените настройку через групповые политики (Административные шаблоны -> Компоненты Windows -> Internet Explorer).

3. Ограничьте выполнение сценариев JScript: * Внимание! Это может нарушить работу легитимных веб-приложений. * Отключите поддержку JScript через функцию "Ограниченный доступ к сайтам" (зона безопасности с высоким уровнем) или с помощью групповых политик.

4. Настройте правила в сетевом экране (WAF) или IPS: * Разверните сигнатуры, блокирующие известные эксплойты для данной уязвимости (например, по идентификатору CVE). * Пример правила для Suricata (концепт):

alert http any any -> $HOME_NET any (msg:"CVE-2019-1367 - Potential IE JScript Exploit"; flow:established,to_client; content:"<script language=JScript>"; nocase; pcre:"/specific_malicious_pattern/i"; sid:10001367; rev:1;)

5. Повысьте общую защиту: * Убедитесь, что на всех системах работает антивирусное ПО с актуальными сигнатурами. * Применяйте принцип наименьших привилегий (пользователи не должны работать с правами администратора).