Microsoft indrømmer Windows OS indeholder to nye 0-dages RCE-sårbarheder, der udnyttes i naturen, her er en arbejdsløsning

Microsoft Windows OS har to sikkerhedssårbarheder, der udnyttes af ondsindede kodeskribenter. De nyligt opdagede sikkerhedsfejl er Remote Code Execution eller RCE-kompatible, og de findes i Adobe Type Manager-biblioteket. Sikkerhedsfejlen kan give udbyttere mulighed for at få fjernadgang til og kontrollere ofrets computere efter installation af selv de nyeste opdateringer. Det er bekymrende at bemærke, at der endnu ikke er nogen patch tilgængelig.

Microsoft har indrømmet, at der er to Windows-nul-dags sårbarheder, der kan udføre ondsindet kode på fuldt opdaterede systemer. Sårbarhederne er fundet i Adobe Type Manager Library, som bruges til at vise Adobe Type 1 PostScript-format i Windows. Microsoft har lovet, at de udvikler en patch til at mindske risikoen og patchere exploits. Virksomheden frigiver dog lapperne som en del af den kommende patch tirsdag. Bekymrede Windows OS-brugere har dog et par midlertidige og enkle løsninger for at beskytte deres systemer mod disse to nye RCE-sårbarheder.

Microsoft advarer om Windows-kodeudførelse 0-dages sårbarheder med begrænset målrettet angrebspotentiale:

Det nyopdagede RCE-sårbarheder findes i Adobe Type Manager Library, en Windows DLL-fil, som en lang række apps bruger til at administrere og gengive skrifttyper, der er tilgængelige fra Adobe Systems. Sårbarheden består af to kodeudførelsesfejl, der kan udløses af forkert håndtering af ondsindet udformede masterskrifttyper i Adobe Type 1 Postscript-format. For at kunne angribe offerets computer med succes, har angriberne kun brug for målet for at åbne et dokument eller endda forhåndsvise det samme i Windows preview-rude. Det er overflødigt at tilføje, at dokumentet er snøret med ondsindet kode.

Microsoft har bekræftet, at computere kører Windows 7 er de mest sårbare over for de nyligt opdagede sikkerhedssårbarheder. Virksomheden bemærker, at font-parsing-sårbarheden for fjernudførelse af kode bruges i "begrænsede målrettede angreb" mod Windows 7-systemer. Hvad angår Windows 10-systemer er omfanget af sårbarhederne ret begrænset, angivet det rådgivende:

"Der er flere måder, en angriber kan udnytte sårbarheden på, såsom at overbevise en bruger om at åbne et specielt udformet dokument eller se det i Windows Preview-rude," bemærkede Microsoft. Selvom der endnu ikke er nogen løsning på Windows 10, Windows 8.1 og Windows 7, forklarer virksomheden, at "for systemer, der kører understøttede versioner af Windows 10, kunne et vellykket angreb kun resultere i kodeudførelse inden for en AppContainer-sandkassekontekst med begrænsede privilegier og muligheder.

https://twitter.com/BleepinComputer/status/1242520156296921089

Microsoft har ikke tilbudt mange detaljer om omfanget af virkningen af ​​de nyopdagede sikkerhedsfejl. Virksomheden angav ikke, om bedrifterne med succes udførte ondsindede nyttelast eller blot forsøgte det.

Sådan beskyttes mod nye Windows 0-dages RCE-sårbarheder i Adobe Type Manager-biblioteket?

Microsoft har endnu ikke officielt udstedt en patch til beskyttelse mod de nyligt opdagede RCE-sikkerhedssårbarheder. Plasterne forventes at ankomme på patch tirsdag, sandsynligvis i næste uge. Indtil da foreslår Microsoft at bruge en eller flere af følgende løsninger:

  • Deaktivering af eksempelruden og detaljeruden i Windows Stifinder
  • Deaktivering af WebClient-tjenesten
  • Omdøb ATMFD.DLL (på Windows 10-systemer, der har en fil med det navn), eller deaktiver alternativt filen fra registreringsdatabasen

Den første foranstaltning forhindrer Windows Stifinder i automatisk at vise Open Type-skrifttyper. I øvrigt forhindrer denne foranstaltning nogle typer angreb, men det forhindrer ikke en lokal, godkendt bruger i at køre et specielt udformet program for at udnytte sårbarheden.

Deaktivering af WebClient-tjenesten blokerer den vektor, som angribere sandsynligvis vil bruge til at udføre fjernbetjening. Denne løsning får brugerne til at blive bedt om bekræftelse, inden de åbner vilkårlige programmer fra Internettet. Ikke desto mindre er det stadig muligt for angribere at køre programmer placeret på den målrettede brugers computer eller lokale netværk.

Den sidste foreslåede løsning er ret besværlig, da det vil medføre skærmproblemer for applikationer, der er afhængige af indlejrede skrifttyper og kan få nogle apps til at stoppe med at arbejde, hvis de bruger OpenType-skrifttyper.

Som altid advares Windows OS-brugere om at være på udkig efter mistænkelige anmodninger om at se dokumenter, der ikke er tillid til. Microsoft har lovet en permanent løsning, men brugerne bør afstå fra at få adgang til eller åbne dokumenter fra ubekræftede eller upålidelige kilder.

Facebook Twitter Google Plus Pinterest