Microsoft innrømmer Windows OS inneholder to nye 0-dagers RCE-sårbarheter som blir utnyttet i naturen, her er en arbeidsløsning

Microsoft Windows OS har to sikkerhetsproblemer som utnyttes av ondsinnede kodeskribenter. De nylig oppdagede sikkerhetsfeilene er Remote Code Execution eller RCE-kompatible, og de finnes i Adobe Type Manager-biblioteket. Sikkerhetsfeilen kan tillate utnyttere å få tilgang til og kontrollere offerets datamaskiner eksternt etter å ha installert til og med de siste oppdateringene. Det er bekymringsfullt å merke seg at det ikke er noen oppdatering tilgjengelig ennå.

Microsoft har innrømmet at det er to Windows zero-day-sårbarheter som kan utføre ondsinnet kode på fullt oppdaterte systemer. Sårbarhetene er funnet i Adobe Type Manager Library, som brukes til å vise Adobe Type 1 PostScript-format i Windows. Microsoft har lovet at det utvikler en oppdatering for å redusere risikoen og lappe utnyttelsene. Imidlertid vil selskapet frigjøre oppdateringene som en del av den kommende Patch Tuesday. Bekymrede Windows OS-brukere har imidlertid noen midlertidige og enkle løsninger for å beskytte systemene sine mot disse to nye RCE-sårbarhetene.

Microsoft advarer om Windows-kodeutførelse 0-dagers sikkerhetsproblemer med begrenset potensial for målrettede angrep:

Det nylig oppdagede RCE-sårbarheter finnes i Adobe Type Manager Library, en Windows DLL-fil som et stort utvalg av apper bruker for å administrere og gjengi skrifter tilgjengelig fra Adobe Systems. Sårbarheten består av to feil med kodeutførelse som kan utløses av feil håndtering av ondsinnet utformede masterskrifter i Adobe Type 1 Postscript-format. For å kunne angripe offerets datamaskin, trenger angriperne bare målet for å åpne et dokument eller til og med forhåndsvise det samme i Windows forhåndsvisningsrute. Det er unødvendig å legge til, at dokumentet vil være laced med skadelig kode.

Microsoft har bekreftet at datamaskiner som kjører Windows 7 er de mest sårbare for de nylig oppdagede sikkerhetsproblemene. Selskapet bemerker at font-parsing sårbarhet for ekstern kodeutførelse blir brukt i "begrensede målrettede angrep", mot Windows 7-systemer. Som for Windows 10-systemer er omfanget av sårbarhetene ganske begrenset, angitt rådgivende:

"Det er flere måter en angriper kan utnytte sårbarheten på, for eksempel å overbevise en bruker om å åpne et spesielt utformet dokument eller se det i Windows Preview-rute," bemerket Microsoft. Selv om det ennå ikke er noen løsning for Windows 10, Windows 8.1 og Windows 7, forklarer selskapet at "for systemer som kjører støttede versjoner av Windows 10, kan et vellykket angrep bare resultere i kodeutførelse i en AppContainer-sandkassekontekst med begrensede privilegier og evner.

https://twitter.com/BleepinComputer/status/1242520156296921089

Microsoft har ikke gitt mange detaljer om omfanget av virkningen av de nylig oppdagede sikkerhetsfeilene. Selskapet oppga ikke om utnyttelsene med hell utfører skadelige nyttelaster eller bare prøver det.

Hvordan beskytte deg mot nye Windows 0-dagers RCE-sikkerhetsproblemer i Adobe Type Manager-biblioteket?

Microsoft har ennå ikke offisielt utstedt en oppdatering for å beskytte mot de nylig oppdagede RCE-sikkerhetsproblemene. Lappene forventes å ankomme Patch Tuesday, sannsynligvis neste uke. Inntil da foreslår Microsoft å bruke en eller flere av følgende løsninger:

  • Deaktivering av forhåndsvisningsruten og detaljruten i Windows Utforsker
  • Deaktivering av WebClient-tjenesten
  • Gi nytt navn til ATMFD.DLL (på Windows 10-systemer som har en fil med det navnet), eller deaktiver alternativt filen fra registeret

Det første tiltaket hindrer Windows Utforsker i å automatisk vise Open Type Fonts. For øvrig vil dette tiltaket forhindre noen typer angrep, men det vil ikke stoppe en lokal, autentisert bruker fra å kjøre et spesielt utformet program for å utnytte sårbarheten.

Deaktivering av WebClient-tjenesten blokkerer vektoren som angripere mest sannsynlig vil bruke til å utføre ekstern utnyttelse. Denne løsningen vil føre til at brukerne blir bedt om bekreftelse før de åpner vilkårlige programmer fra Internett. Det er likevel fortsatt mulig for angripere å kjøre programmer som ligger på den målrettede brukerens datamaskin eller lokale nettverk.

Den siste foreslåtte løsningen er ganske plagsom, da det vil føre til skjermproblemer for applikasjoner som er avhengige av innebygde skrifter, og kan føre til at noen apper slutter å fungere hvis de bruker OpenType-skrifter.

Som alltid blir Windows OS-brukere advart om å være på utkikk etter mistenkelige forespørsler om å se upålitelige dokumenter. Microsoft har lovet en permanent løsning, men brukere bør avstå fra å få tilgang til eller åpne dokumenter fra ubekreftede eller upålitelige kilder.

Facebook Twitter Google Plus Pinterest