防护策略解析:安全公告2963983 IE 0day漏洞
我们收到了大量客户关于周六晚间发布的安全公告2963983中记录的缓解步骤的咨询。本篇博客旨在解答这些疑问。
可采取的安全措施
安全公告列出了客户可采取的多种防护选项,主要包括:
- 部署增强缓解体验工具包(EMET)
- 阻止对VGX.DLL的访问
- 启用增强保护模式
- 使用IE内置配置选项禁用活动脚本
以下将针对每个选项解答客户疑问。
EMET防护能力更新
原始安全公告和SRD博客均指出EMET 4.1能有效阻止攻击。经深度分析现有两个漏洞样本,我们发现EMET 4.0同样有效。公告和博客均已更新说明EMET 4.0/4.1均有效。EMET 5.0技术预览版也具备防护能力,但不建议在生产环境部署。
客户询问具体哪些EMET缓解措施有效,我们通过下表解答:
| 缓解措施 | EMET 4.0/4.1 | EMET 5技术预览版 |
|---|---|---|
| 堆喷洒防护 | 有效 | 有效 |
| StackPivot ROP缓解 | 需启用Deep Hooks | 有效 |
| Caller ROP缓解 | 需启用Deep Hooks | 有效 |
| MemProt ROP缓解 | 需启用Deep Hooks | 有效 |
| EAF+ | 不支持(EAF无效) | 有效 |
| 攻击面缩减 | 不支持 | 有效(阻止Internet区域VGX.DLL/FLASH.ocx) |
可见,EMET 4.x中四个可阻挡攻击的缓解措施有三个需启用Deep Hooks。攻击者利用了ZwProtectVirtualMemory,未启用Deep Hooks时无法防护。EMET 4.0/4.1默认未启用Deep Hooks,仅靠堆喷洒防护已能阻挡攻击,但ROP缓解更可靠且更难绕过,建议启用Deep Hooks获取完整防护。
今日微软下载中心将发布EMET 4.1更新(Update 1),主要修复小漏洞,但会默认启用EMET 4.1的Deep Hooks。更新发布后我们将通过SRD博客提供KB链接。
VGX.DLL缓解措施说明
已发现的漏洞利用依赖矢量标记语言(VML)触发use-after-free漏洞。经分析,攻击者需额外研究才能开发不依赖VML的利用方式,因此建议客户禁用提供VML功能的VGX.dll库。客户可通过ACL或注销DLL实现,后者可通过单命令行静默执行,并可通过SCCM等方案脚本化部署。当前多数浏览器不原生支持VML,此方案对企业Web应用兼容性影响最小。
需澄清的是:VGX.DLL不包含漏洞代码,禁用VGX.DLL是针对特定漏洞的应急方案,可立即有效阻挡已知攻击。
IE增强保护模式说明
关于IE增强保护模式的疑问:该模式可保护64位IE用户免受攻击。IE10与IE11存在设置差异导致困惑:IE10需启用一个设置,IE11需启用两个设置。64位环境是关键因素,因为堆喷洒攻击在64位地址空间无效会导致利用失败。32位IE11的增强保护模式单独启用无效。下图展示IE10与IE11的复选框差异:
选择适合环境的缓解方案
安全公告提供多种推荐方案,因客户环境差异可能存在不同"最佳"方案。各方案优缺点如下:
选项1:部署EMET
- 优点:通过多种加固机制阻挡漏洞利用;安全更新发布后仍可防护其他潜在漏洞
- 缺点:需企业网络广泛部署前测试,旧版EMET曾引发应用兼容性问题
选项2:阻止VGX.dll访问
- 优点:部署简单快捷
- 缺点:可能无法防护未来新利用方式
选项3:启用64位IE增强保护模式
- 优点:阻挡当前及未来潜在漏洞
- 缺点:需64位Windows且运行64位IE
对于已部署EMET 4.x的客户,启用Deep Hooks可能是最佳选择。未部署EMET的客户应优先选择快速防护方案(如阻止VGX.dll访问)。部署EMET是最佳长期防护方案,但未经环境测试直接部署并非最优解。建议始终使用最新版IE以获得增强保护模式等安全功能、通过企业模式实现更好兼容性、提升性能并支持现代Web标准。
结论
希望本文帮助您选择适合环境的缓解策略。IE团队正在全力准备安全更新,将在适合广泛部署时发布。请关注MSRC博客获取更新信息。
- Elia Florio and Jonathan Ness, MSRC Engineering