Microsoft Internet Explorer Scripting Engine Memory Corruption Vulnerability — Microsoft Internet Explorer contains a memory corruption vulnerability which can allow for remote code execution in the context of the current user.
CVE-2019-1429 is a critical memory corruption vulnerability in the Microsoft Internet Explorer Scripting Engine that allows remote code execution in the context of the current user. An attacker can exploit this vulnerability by convincing a user to visit a specially crafted malicious website or open a malicious document, potentially gaining full control of the affected system. With a CVSS score of 9.0 and a confirmed public exploit available, this vulnerability poses an immediate and severe threat to organizations still relying on Internet Explorer. Immediate patching is strongly recommended given the active exploitation history of IE scripting engine vulnerabilities.
تحتوي نسخ متعددة من Microsoft Internet Explorer على ثغرة تلف ذاكرة حرجة في محرك البرمجة النصية (Scripting Engine) التي تسمح بتنفيذ أوامر بعيدة في سياق المستخدم الحالي. يمكن للمهاجمين استغلال هذه الثغرة من خلال إنشاء صفحات ويب ضارة أو محتوى مصمم خصيصاً. تم تأكيد وجود استغلالات نشطة لهذه الثغرة في البيئات الحقيقية. تتطلب الثغرة تفاعل المستخدم لفتح الصفحة الضارة.
CVE-2019-1429 هي ثغرة أمنية حرجة تتعلق بتلف الذاكرة في محرك البرمجة النصية لمتصفح Internet Explorer من Microsoft، تتيح تنفيذ تعليمات برمجية عن بُعد في سياق المستخدم الحالي. يمكن للمهاجم استغلال هذه الثغرة بإقناع المستخدم بزيارة موقع ويب ضار مُعد خصيصاً أو فتح مستند خبيث، مما قد يمنحه السيطرة الكاملة على النظام المتأثر. مع درجة CVSS بلغت 9.0 وتوافر استغلال عام مؤكد، تشكل هذه الثغرة تهديداً فورياً وخطيراً للمؤسسات التي لا تزال تعتمد على Internet Explorer. يُوصى بشدة بالتصحيح الفوري نظراً لتاريخ الاستغلال النشط لثغرات محرك البرمجة النصية في IE.
IMMEDIATE ACTIONS:
1. Apply Microsoft security patch MS19-Nov (KB4525106 or relevant cumulative update) immediately via Windows Update or WSUS.
2. Identify all systems running Internet Explorer across the environment using asset inventory tools.
3. Isolate or restrict internet access for systems that cannot be immediately patched.
PATCHING GUIDANCE:
1. Deploy the November 2019 Cumulative Security Update for Internet Explorer from Microsoft Update Catalog.
2. Prioritize patching for systems with internet-facing exposure and privileged user accounts.
3. Verify patch deployment using SCCM, Intune, or equivalent patch management tools.
COMPENSATING CONTROLS (if patching is delayed):
1. Disable Internet Explorer or restrict its execution via Group Policy (GPO).
2. Set Internet Zone security to High in IE settings to limit script execution.
3. Enable Enhanced Protected Mode in Internet Explorer.
4. Block known malicious URLs and enforce web proxy filtering.
5. Restrict JScript.dll execution using AppLocker or Software Restriction Policies.
6. Deploy Microsoft EMET or Windows Defender Exploit Guard with Attack Surface Reduction rules.
DETECTION RULES:
1. Monitor for anomalous iexplore.exe child process spawning (e.g., cmd.exe, powershell.exe, wscript.exe).
2. Create SIEM alerts for memory corruption indicators in IE process logs.
3. Enable Windows Defender ATP or Microsoft Defender for Endpoint behavioral detection.
4. Monitor network traffic for drive-by download patterns targeting IE user-agent strings.
5. Use Sigma rule: detect iexplore.exe spawning unusual child processes as indicator of exploitation.
الإجراءات الفورية:
1. تطبيق تصحيح أمان Microsoft MS19-Nov (KB4525106 أو التحديث التراكمي ذي الصلة) فوراً عبر Windows Update أو WSUS.
2. تحديد جميع الأنظمة التي تعمل بمتصفح Internet Explorer عبر أدوات جرد الأصول.
3. عزل الأنظمة التي لا يمكن تصحيحها فوراً أو تقييد وصولها إلى الإنترنت.
إرشادات التصحيح:
1. نشر التحديث الأمني التراكمي لنوفمبر 2019 لمتصفح Internet Explorer من كتالوج Microsoft Update.
2. إعطاء الأولوية لتصحيح الأنظمة المعرضة للإنترنت والحسابات ذات الامتيازات العالية.
3. التحقق من نشر التصحيح باستخدام SCCM أو Intune أو أدوات إدارة التصحيح المعادلة.
ضوابط التعويض (في حال تأخر التصحيح):
1. تعطيل Internet Explorer أو تقييد تنفيذه عبر سياسة المجموعة (GPO).
2. ضبط أمان منطقة الإنترنت على مستوى عالٍ في إعدادات IE للحد من تنفيذ البرامج النصية.
3. تفعيل وضع الحماية المحسّن في Internet Explorer.
4. حظر عناوين URL الضارة المعروفة وتطبيق تصفية وكيل الويب.
5. تقييد تنفيذ JScript.dll باستخدام AppLocker أو سياسات تقييد البرامج.
6. نشر Microsoft EMET أو Windows Defender Exploit Guard مع قواعد تقليل سطح الهجوم.
قواعد الكشف:
1. مراقبة عمليات iexplore.exe الفرعية غير الطبيعية (مثل cmd.exe وpowershell.exe وwscript.exe).
2. إنشاء تنبيهات SIEM لمؤشرات تلف الذاكرة في سجلات عملية IE.
3. تفعيل Windows Defender ATP أو Microsoft Defender for Endpoint للكشف السلوكي.
4. مراقبة حركة الشبكة لأنماط التنزيل التلقائي التي تستهدف سلاسل وكيل مستخدم IE.
5. استخدام قاعدة Sigma: الكشف عن iexplore.exe الذي يولد عمليات فرعية غير معتادة كمؤشر على الاستغلال.