בהודעה בהולה שפרסמה מיקרוסופט בסוף השבוע ועדכנה ביום ראשון ה-19 לינואר, היא התריעה לגבי פגיעות בדפדפן Internet Explorer שתוקפים מנצלים באופן פעיל ועדיין אין עדכון תיקון זמין עבורה.
הפגיעות שמוגדרת כקריטית וקיבלה את המזהה CVE-2020-0674, עלולה לאפשר הרצת קוד מרחוק ונמצאת במנוע הסקריפטים שמטפל באובייקטים בזיכרון של הדפדפן ומופעל דרך הדרייבר JScrpt.dll.
תוקף יכול להריץ קוד זדוני במחשבים מרוחקים באמצעות הפגיעות ולקבל עליהם שליטה מלאה במידה ושכנע את הקורבנות לפתוח עמוד אינטרנט זדוני בדפדפן הפגיע של מיקרוסופט.
מיקרוסופט מודעת למתקפות פעילות המבוצעות על ידי האקרים ועובדת על תיקון.
הדפדפנים הפגיעים הם: אינטרנט אקספלורר בגרסאות 9,10 ו-11 שרצים על מערכות ההפעלה Windows 10, 8.1 ומערכת ההפעלה שמיקרוסופט סיימה תמיכה בה באופן רשמי ממש בשבוע שעבר, Windows 7.
בהתאם להנחיה של מיקרוסופט, מניעת הרצה של Jscript.dll יכולה למנוע את ניצול הפגיעה הנוכחית.

כדי לעשות זאת עד ליציאת העדכון הרשמי, שיצא כנראה בעדכון החודשי של מיקרוסופט בפברואר, ממליצה מיקרוסופט להריץ סקריפט שישנה את ההרשאות על הדרייבר JScrpt.dll כפתרון זמני עד ליציאת העדכון.
הבעיה בפתרון הזמני של מיקרוסופט היא הדרישה להפעלת סקריפט עם שינוי ההרשאות של הדרייבר ספציפית עבור המשתמש המקומי, דבר שדורש בדיקות והתאמה לסוגי משתמשים שונים.
יותר מכך, כאשר יצא העדכון של מיקרוסופט, יידרשו מנהלי הרשתות והאינטגרטורים להריץ סקריפט נוסף לפני ביצוע העדכון, שישנה את ההרשאות בחזרה, אחרת העדכון של מיקרוסופט לא יעבוד.

כדי לעזור ללקוחות ולשותפים שלנו להתמודד עם תקופת הביניים בה לא יצא עדכון זמני, אנחנו מספקים הגדרה במדיניות בממשק הניהול שלנו ESMC, שתבצע את אותה הפעולה ללא צורך בהתאמת סקריפטים והרשאות, דרך מנגנון ה-HIPS במוצרים שלנו לתחנות עבודה.
ההגדרה תחסום את ההרשאות של כל האפליקציות לדרייבר Jscript.dll.
בכל הבדיקות שערכנו בימים האחרונים לא התגלו בעיות מיוחדות כתוצאה מההגדרה, אבל צריך לקחת בחשבון שבדיוק כמו הפתרון הזמני של מיקרוסופט, ההגדרה עלולה לגרום להפרעה בפעולה של חלק מהאתרים או התכונות.
לכן ניתן להגדיר את המדיניות באופן זמני, ולבטל אותה כאשר יצא העדכון של מיקרוסופט בחודש פברואר.

כדי להגדיר את המדיניות על התחנות ברשת יש לבצע את הפעולות הבאות:
1. הורידו את קובץ ההגדרות מדיניות שלנו וחלצו אותו מקובץ ה ZIP לקובץ DAT
2. היכנסו לממשק הניהול ESMC לתפריט Policies
3. לחצו על הכפתור הכחול בתחתית המסך Actions ואז על import
4. בחרו את הקובץ שחילצתם Block_jscript.dll.dat
5. בחרו במדיניות החדשה שהתווספה, ושייכו אותה לקבוצה הכללית All, או לקבוצה קטנה לבדיקה

עדכון 12.02.2020:

בהמשך להודעה שלנו מיום רביעי, 22.01 לגבי הפתרון לפגיעות בדפדפן Internet Explorer, אתמול הוציאה מיקרוסופט עדכון שמתקן את הפגיעות.
במהלך 3 השבועות שבהם היתה קיימת פגיעות בדפדפן Internet Explorer, הלקוחות שלנו היו מוגנים באמצעות חוק ה-HIPS שהנחינו כיצד להגדיר.
בשבועיים האחרונים גם לקוחות שלא הגדירו חסימה של הדרייבר הפגיע קיבלו הגנה באמצעות מנועי ההגנה שלנו, והתקפות על הדפדפן זוהו ע"י מוצרי ESET בתור:
JS/Exploit.Agent.NPT trojan
במידה והגדרתם חוק במדיניות של ESET לחסימת הגישה לדרייבר הפגיע, חשוב לנטרל את החוק שהגדרתם ב-HIPS על מנת שהעדכון של מיקרוסופט יתבצע והגישה לקובץ jscript.dll לא תיחסם.

כדי לנטרל את החוק:
1. היכנסו לממשק הניהול של ESET Security Management Center
2. היכנסו לתפריט policies
3. לחצו על החוק “Block jscript.dll access” ועל Edit כדי לערוך את המדיניות
4. היכנסו לתפריט Detection Engine  HIPS  Rules
5. הסירו את הסימון מהתיבה Enable
6. לחצו על OK ועל Finish כדי לשמור את ההגדרות

jscript hips disable