Microsoft Internet Explorer Scripting Engine Memory Corruption Vulnerability — Microsoft Internet Explorer contains a memory corruption vulnerability in how the scripting engine handles objects in memory. Successful exploitation allows for remote code execution in the context of the current user.
CVE-2019-1367 is a critical memory corruption vulnerability in the Microsoft Internet Explorer scripting engine that enables remote code execution in the context of the current user. This vulnerability was actively exploited in the wild at the time of disclosure, making it a zero-day threat. An attacker can exploit this flaw by convincing a user to visit a maliciously crafted webpage, potentially gaining full control of the affected system. Given the widespread legacy use of Internet Explorer in enterprise and government environments, this represents an urgent patching priority.
تحتوي ثغرة CVE-2019-1367 على عيب في معالجة الذاكرة بمحرك البرامج النصية في متصفح Internet Explorer. يمكن للمهاجمين استغلال هذه الثغرة من خلال إنشاء صفحات ويب ضارة تحتوي على كود JavaScript خاص. عند زيارة المستخدم للموقع الضار، يتم تنفيذ الكود بصلاحيات المستخدم الحالي، مما يسمح بسرقة البيانات أو تثبيت برامج ضارة.
CVE-2019-1367 هي ثغرة أمنية حرجة في محرك البرمجة النصية لمتصفح Internet Explorer من Microsoft تتيح تنفيذ تعليمات برمجية عن بُعد في سياق المستخدم الحالي. تم استغلال هذه الثغرة بشكل نشط في البيئة الفعلية وقت الإفصاح عنها، مما يجعلها تهديداً من نوع اليوم صفر. يمكن للمهاجم استغلال هذا الخلل بإقناع المستخدم بزيارة صفحة ويب مصممة بشكل خبيث، مما قد يمنحه السيطرة الكاملة على النظام المتأثر. نظراً للاستخدام الواسع لمتصفح Internet Explorer القديم في بيئات المؤسسات والحكومات، فإن هذا يمثل أولوية عاجلة للتصحيح.
IMMEDIATE ACTIONS:
1. Apply Microsoft out-of-band security patch KB4522007 (released September 23, 2019) immediately across all affected systems.
2. Identify all systems still running Internet Explorer via asset inventory and prioritize patching based on internet-facing exposure.
3. Isolate or restrict internet access for systems that cannot be immediately patched.
PATCHING GUIDANCE:
4. Deploy the patch via WSUS, SCCM, or Microsoft Update Catalog for all supported Windows versions.
5. Verify patch deployment using vulnerability scanners (Tenable Nessus, Qualys) targeting CVE-2019-1367.
6. Prioritize internet-facing systems, kiosks, and shared workstations first.
COMPENSATING CONTROLS (if patch cannot be applied immediately):
7. Set Internet Explorer Enhanced Protected Mode to enabled.
8. Restrict access to internet zones via Group Policy to limit IE usage to trusted intranet sites only.
9. Deploy Microsoft EMET or Windows Defender Exploit Guard to mitigate memory corruption exploitation.
10. Block known malicious URLs and enforce web proxy filtering.
11. Disable the JScript scripting engine via registry: set HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_RESTRICT_RES_TO_LAN to restrict execution.
DETECTION RULES:
12. Monitor for unusual iexplore.exe child processes (cmd.exe, powershell.exe, wscript.exe).
13. Enable Windows Defender ATP or Microsoft Sentinel alerts for scripting engine exploitation indicators.
14. Search SIEM for Event ID 1000/1001 (application crashes) related to iexplore.exe.
15. Hunt for network connections from iexplore.exe to non-standard ports or external IPs.
16. Deploy Snort/Suricata rules targeting malformed JScript heap spray patterns.
الإجراءات الفورية:
1. تطبيق تصحيح الأمان الطارئ من Microsoft KB4522007 (الصادر في 23 سبتمبر 2019) فوراً على جميع الأنظمة المتأثرة.
2. تحديد جميع الأنظمة التي لا تزال تشغّل Internet Explorer عبر جرد الأصول وتحديد أولويات التصحيح بناءً على التعرض للإنترنت.
3. عزل أو تقييد الوصول إلى الإنترنت للأنظمة التي لا يمكن تصحيحها فوراً.
إرشادات التصحيح:
4. نشر التصحيح عبر WSUS أو SCCM أو Microsoft Update Catalog لجميع إصدارات Windows المدعومة.
5. التحقق من نشر التصحيح باستخدام أدوات فحص الثغرات مثل Tenable Nessus وQualys.
6. إعطاء الأولوية للأنظمة المواجهة للإنترنت وأجهزة الكشك والمحطات المشتركة أولاً.
ضوابط التعويض (إذا تعذّر تطبيق التصحيح فوراً):
7. تفعيل وضع الحماية المحسّنة في Internet Explorer.
8. تقييد الوصول إلى مناطق الإنترنت عبر Group Policy للحد من استخدام IE للمواقع الداخلية الموثوقة فقط.
9. نشر Microsoft EMET أو Windows Defender Exploit Guard للتخفيف من استغلال تلف الذاكرة.
10. حظر عناوين URL الخبيثة المعروفة وتطبيق تصفية وكيل الويب.
11. تعطيل محرك البرمجة النصية JScript عبر السجل.
قواعد الكشف:
12. مراقبة العمليات الفرعية غير المعتادة لـ iexplore.exe مثل cmd.exe وpowershell.exe.
13. تفعيل تنبيهات Windows Defender ATP أو Microsoft Sentinel لمؤشرات استغلال محرك البرمجة النصية.
14. البحث في SIEM عن معرّف الحدث 1000/1001 المتعلق بـ iexplore.exe.
15. تتبع اتصالات الشبكة من iexplore.exe إلى منافذ غير قياسية أو عناوين IP خارجية.
16. نشر قواعد Snort/Suricata لاستهداف أنماط رش الكومة المشوّهة في JScript.