Microsoft medger Windows OS innehåller två nya 0-dagars RCE-sårbarheter som utnyttjas i naturen, här är en arbetslösning
Microsoft Windows OS har två säkerhetsproblem som utnyttjas av skadliga kodförfattare. De nyligen upptäckta säkerhetsfel är Remote Code Execution eller RCE-kapabla, och de finns i Adobe Type Manager-biblioteket. Säkerhetsfelet kan tillåta exploatörer att fjärråtkomst och kontrollera offrets datorer efter att ha installerat även de senaste uppdateringarna. Det är viktigt att notera att det inte finns någon patch tillgänglig än.
Microsoft har medgett att det finns två Windows zero-day-sårbarheter som kan utföra skadlig kod på helt uppdaterade system. Sårbarheterna har hittats i Adobe Type Manager Library, som används för att visa Adobe Type 1 PostScript-format i Windows. Microsoft har lovat att de utvecklar en patch för att mildra risken och patcha exploaterna. Företaget kommer dock att släppa patcharna som en del av den kommande Patch Tuesday. Bekymrade Windows OS-användare har dock några tillfälliga och enkla lösningar för att skydda sina system från dessa två nya RCE-sårbarheter.
Microsoft varnar för 0-dagars sårbarheter med Windows-kodutförande med begränsad riktad attackpotential:
Det nyupptäckta RCE-sårbarheter finns i Adobe Type Manager-biblioteket, en Windows DLL-fil som ett stort antal appar använder för att hantera och göra teckensnitt tillgängliga från Adobe Systems. Sårbarheten består av två fel i kodkörningen som kan utlösas av felaktig hantering av skadligt utformade huvudteckensnitt i Adobe Type 1 Postscript-format. För att framgångsrikt kunna attackera ett offrets dator behöver angriparna bara målet för att öppna ett dokument eller till och med förhandsgranska detsamma i Windows förhandsgranskningsfönster. Det behöver inte läggas till att dokumentet spetsas med skadlig kod.
Microsoft har bekräftat att datorer som körs Windows 7 är de mest utsatta för de nyligen upptäckta säkerhetsproblemen. Företaget noterar att sårbarheten för tolkning av fjärrkodkörning används i "begränsade riktade attacker" mot Windows 7-system. När det gäller Windows 10-system är omfattningen av sårbarheterna ganska begränsad, indikerade det rådgivande:
"Det finns flera sätt som en angripare kan utnyttja sårbarheten, som att övertyga en användare att öppna ett speciellt utformat dokument eller visa det i Windows förhandsgranskningsfönster", noterade Microsoft. Även om det ännu inte finns någon lösning för Windows 10, Windows 8.1 och Windows 7 förklarar företaget att ”för system som kör versioner av Windows 10 som stöds kan en framgångsrik attack bara resultera i kodkörning inom ett AppContainer-sandlådekontext med begränsade behörigheter och funktioner.
https://twitter.com/BleepinComputer/status/1242520156296921089
Microsoft har inte erbjudit många detaljer om omfattningen av de nyupptäckta säkerhetsbristerna. Företaget angav inte om exploateringen lyckades utföra skadliga nyttolaster eller helt enkelt försökte det.
Hur skyddas jag mot nya Windows 0-dagars RCE-sårbarheter i Adobe Type Manager-biblioteket?
Microsoft har ännu inte officiellt utfärdat en patch för att skydda mot de nyligen upptäckta RCE-säkerhetsproblemen. Lapparna förväntas anlända på Patch Tuesday, troligen nästa vecka. Fram till dess föreslår Microsoft att man använder en eller flera av följande lösningar:
- Inaktivera förhandsgranskningsfönstret och informationsfönstret i Windows Explorer
- Inaktiverar WebClient-tjänsten
- Byt namn på ATMFD.DLL (på Windows 10-system som har en fil med det namnet), eller inaktivera alternativt filen från registret
Den första åtgärden hindrar Windows Explorer från att automatiskt visa teckensnitt med Open Type. För övrigt kommer denna åtgärd att förhindra vissa typer av attacker, men det hindrar inte en lokal, autentiserad användare från att köra ett speciellt utformat program för att utnyttja sårbarheten.
Att inaktivera WebClient-tjänsten blockerar vektorn som angripare troligtvis skulle använda för att utföra fjärranslutningar. Den här lösningen kommer att leda till att användarna ombeds bekräfta innan de öppnar godtyckliga program från Internet. Ändå är det fortfarande möjligt för angripare att köra program som ligger på den riktade användarens dator eller lokala nätverk.
Den senaste föreslagna lösningen är ganska besvärlig eftersom det kommer att orsaka visningsproblem för applikationer som är beroende av inbäddade teckensnitt och kan orsaka att vissa appar slutar fungera om de använder OpenType-teckensnitt.
Som alltid uppmanas Windows OS-användare att vara på utkik efter misstänkta förfrågningar om att visa otillförlitliga dokument. Microsoft har lovat en permanent fix, men användare bör avstå från att komma åt eller öppna dokument från overifierade eller opålitliga källor.