Luki dnia zerowego w Adobe Type Manager Library dotyczą wielu systemów operacyjnych Windows

Microsoft opublikował biuletyn bezpieczeństwa na temat luk w Adobe Type Manager Library, które są już wykorzystywane przez cyberprzestępców.

Microsoft wydał ostrzeżenie o zidentyfikowaniu dwóch nowych luk w Adobe Type Manager Library. Co więcej, według opublikowanych informacji część atakujących zdołała już ich użyć w atakach ukierunkowanych.

Co to jest Adobe Type Manager Library i na czym polega podatność

Dawniej, aby zobaczyć zastrzeżone czcionki Adobe w systemie Windows, należało zainstalować dodatkowe oprogramowanie — Adobe Type Manager. Ponieważ nie było to zbyt wygodne dla użytkowników końcowych, firma Adobe ostatecznie otworzyła specyfikację dla swoich formatów, a Microsoft wdrożył w swoich systemach operacyjnych obsługę tych czcionek. W tym celu wykorzystywany jest właśnie komponent Windows Adobe Type Manager Library.

Jak twierdzi firma Microsoft, problem leży w obsłudze konkretnego formatu przez bibliotekę czcionek — Adobe Type 1 PostScript. Atakujący może przygotować czcionkę Type 1 PostScript w taki sposób, aby zdobyć możliwość wykonania dowolnego kodu na komputerze z systemem Windows. Istnieje kilka wektorów ataków umożliwiających wykorzystanie wspomnianej luki — hakerzy mogą nakłonić ofiarę do otwarcia szkodliwego dokumentu lub wyświetlenia go za pomocą „Panelu podglądu” (mowa tu o panelu systemowym, a nie do podobnej funkcji w kliencie pocztowym Microsoft Outlook).

Ponadto atakujący mogą wykorzystać tę lukę poprzez rozszerzenie do HTTP o nazwie Web Distributed Authoring and Versioning (WebDAV), które umożliwia użytkownikom wspólną pracę nad dokumentem.

Firma Microsoft sugeruje wyłączenie usługi WebClient, która umożliwia korzystanie z tej funkcji, a także podkreśla, że najprawdopodobniej jest to wektor ataku zdalnego.

Które systemy są podatne

Luka jest obecna w 40 różnych wersjach systemów operacyjnych Windows 10, Windows 7, Windows 8.1, Windows Server 2008, Windows Server 2012, Windows Server 2016 oraz Windows Server 2019. Pełną listę podatnych systemów zawiera biuletyn bezpieczeństwa firmy Microsoft, ADV200006.

Jednak firma wyjaśnia, że w obsługiwanych wersjach systemu Windows 10 pomyślny atak umożliwi jedynie wykonanie szkodliwego kodu w kontekście piaskownicy AppContainer z ograniczonymi uprawnieniami i możliwościami.

Czy dostępna jest już łata?

Na czas publikacji tego posta luka w Adobe Type Manager Library nie została jeszcze zalatana przez firmę Microsoft. Jednak firma planuje udostępnić ją 14 kwietnia. Oczywiście niezwłocznie zaktualizujemy ten post.

Jak zapewnić sobie bezpieczeństwo

Z naszej strony zalecamy używanie niezawodnego rozwiązania do ochrony poczty e-mail (ponieważ jest to najpowszechniejsza metoda dostarczania szkodliwych dokumentów), a także korzystanie z rozwiązania do ochrony punktów końcowych, które potrafi zatrzymać szkodliwą aktywność, w tym exploity. Oba zadania z powodzeniem wykonuje Kaspersky Endpoint Security for Business ADVANCED. Oczywiście lepiej jest nie otwierać dokumentów oraz załączników poczty e-mail, jeśli nie mamy pewności, skąd pochodzą.

Z kolei firma Microsoft sugeruje zastosowanie się do poniższych wskazówek.

  • Wyłącz panel podglądu i szczegółów.
  • Wyłącz usługę Webclient (spowoduje to wyłączenie WebDAV).
  • Wyłącz bibliotekę ATMFD.DLL.

Szczegółowe instrukcje dotyczące wykonania wszystkich powyższych zaleceń znajdziesz w poradniku bezpieczeństwa firmy Microsoft. Warto zauważyć, że wyłączenie usługi Webclient uniemożliwi obsługę żądań rozszerzenia WebDAV, a wykorzystujące go aplikacje nie będą działać poprawnie. To samo dotyczy wyłączenia biblioteki ATMFD.DLL — aplikacje, które jej używają, nie będą działać poprawnie.

Porady