Aktualizacja: 14 kwietnia 2020 r.
Microsoft wydał ostrzeżenie o zidentyfikowaniu dwóch nowych luk w Adobe Type Manager Library. Co więcej, według opublikowanych informacji część atakujących zdołała już ich użyć w atakach ukierunkowanych. 14 kwietnia 2020 r. firma udostępniła stosowne aktualizacje.
Co to jest Adobe Type Manager Library i na czym polega podatność
Dawniej, aby zobaczyć zastrzeżone czcionki Adobe w systemie Windows, należało zainstalować dodatkowe oprogramowanie — Adobe Type Manager. Ponieważ nie było to zbyt wygodne dla użytkowników końcowych, firma Adobe ostatecznie otworzyła specyfikację dla swoich formatów, a Microsoft wdrożył w swoich systemach operacyjnych obsługę tych czcionek. W tym celu wykorzystywany jest właśnie komponent Windows Adobe Type Manager Library.
Jak twierdzi firma Microsoft, problem leży w obsłudze konkretnego formatu przez bibliotekę czcionek — Adobe Type 1 PostScript. Atakujący może przygotować czcionkę Type 1 PostScript w taki sposób, aby zdobyć możliwość wykonania dowolnego kodu na komputerze z systemem Windows. Istnieje kilka wektorów ataków umożliwiających wykorzystanie wspomnianej luki — hakerzy mogą nakłonić ofiarę do otwarcia szkodliwego dokumentu lub wyświetlenia go za pomocą „Panelu podglądu” (mowa tu o panelu systemowym, a nie do podobnej funkcji w kliencie pocztowym Microsoft Outlook).
Ponadto atakujący mogą wykorzystać tę lukę poprzez rozszerzenie do HTTP o nazwie Web Distributed Authoring and Versioning (WebDAV), które umożliwia użytkownikom wspólną pracę nad dokumentem.
Firma Microsoft sugeruje wyłączenie usługi WebClient, która umożliwia korzystanie z tej funkcji, a także podkreśla, że najprawdopodobniej jest to wektor ataku zdalnego.
Które systemy są podatne
Luka jest obecna w 40 różnych wersjach systemów operacyjnych Windows 10, Windows 7, Windows 8.1, Windows Server 2008, Windows Server 2012, Windows Server 2016 oraz Windows Server 2019. Pełną listę podatnych systemów zawiera biuletyn bezpieczeństwa firmy Microsoft, ADV200006.
Jednak firma wyjaśnia, że w obsługiwanych wersjach systemu Windows 10 pomyślny atak umożliwi jedynie wykonanie szkodliwego kodu w kontekście piaskownicy AppContainer z ograniczonymi uprawnieniami i możliwościami.
Aktualizacja: Jak informuje firma Microsoft, wykorzystanie tej luki w systemie Windows 10 jest mało prawdopodobne. Waga aktualizacji została obniżona z „krytycznej” do „ważnej”. Ponadto firma nie zaleca stosowania nietypowych sposobów rozwiązania problemu w tej wersji systemu. Jak podkreśla Microsoft, ataki ukierunkowane dotyczyły systemu Windows 7.
Czy dostępna jest już łata?
Firma Microsoft udostępniła aktualizacje bezpieczeństwa, które eliminują wspomnianą lukę, 14 kwietnia 2020 r.
Jak zapewnić sobie bezpieczeństwo
Z naszej strony zalecamy używanie niezawodnego rozwiązania do ochrony poczty e-mail (ponieważ jest to najpowszechniejsza metoda dostarczania szkodliwych dokumentów), a także korzystanie z rozwiązania do ochrony punktów końcowych, które potrafi zatrzymać szkodliwą aktywność, w tym exploity. Oba zadania z powodzeniem wykonuje Kaspersky Endpoint Security for Business ADVANCED. Oczywiście lepiej jest nie otwierać dokumentów oraz załączników poczty e-mail, jeśli nie mamy pewności, skąd pochodzą.
Z kolei firma Microsoft sugeruje zastosowanie się do poniższych wskazówek.
- Wyłącz panel podglądu i szczegółów.
- Wyłącz usługę Webclient (spowoduje to wyłączenie WebDAV).
- Wyłącz bibliotekę ATMFD.DLL.
Szczegółowe instrukcje dotyczące wykonania wszystkich powyższych zaleceń znajdziesz w poradniku bezpieczeństwa firmy Microsoft. Warto zauważyć, że wyłączenie usługi Webclient uniemożliwi obsługę żądań rozszerzenia WebDAV, a wykorzystujące go aplikacje nie będą działać poprawnie. To samo dotyczy wyłączenia biblioteki ATMFD.DLL — aplikacje, które jej używają, nie będą działać poprawnie.