Windows 10
ОС Microsoft Windows имеет две уязвимости в системе безопасности, которые используются авторами вредоносного кода. Недавно обнаруженные недостатки безопасности поддерживают удаленное выполнение кода или RCE, и они существуют в библиотеке Adobe Type Manager. Ошибка безопасности может позволить злоумышленникам получить удаленный доступ и управлять компьютерами жертвы после установки даже последних обновлений. Следует отметить, что патча еще нет.
Microsoft признала наличие в Windows двух уязвимостей нулевого дня, которые могут выполнять вредоносный код в полностью обновленных системах. Уязвимости были обнаружены в библиотеке Adobe Type Manager, которая используется для отображения формата Adobe Type 1 PostScript в Windows. Microsoft пообещала, что разрабатывает исправление для снижения риска и исправления эксплойтов. Однако компания выпустит патчи в рамках предстоящего вторника патчей. Однако у обеспокоенных пользователей ОС Windows есть несколько временных и простые обходные пути чтобы защитить свои системы от этих двух новых уязвимостей RCE.
Microsoft предупреждает об уязвимостях нулевого дня выполнения кода в Windows с ограниченным потенциалом целевых атак:
Недавно обнаруженный RCE уязвимости существуют в библиотеке Adobe Type Manager Library, DLL-файле Windows, который используется множеством приложений для управления и визуализации шрифтов, доступных от Adobe Systems. Уязвимость состоит из двух недостатков выполнения кода, которые могут быть вызваны неправильной обработкой злонамеренно созданных мастер-шрифтов в формате Adobe Type 1 Postscript. Чтобы успешно атаковать компьютер жертвы, злоумышленникам просто нужно, чтобы цель открыла документ или даже предварительно его просмотрела на панели предварительного просмотра Windows. Излишне добавлять, что документ будет содержать вредоносный код.
⚠️ ВНИМАНИЕ!
Все версии #Microsoft Операционные системы Windows (7, 8.1, 10, Server 2008, 2012, 2016, 2019) содержат 2 новых уязвимости RCE библиотеки синтаксического анализа шрифтов, а именно:
—КРИТИЧЕСКИЙ
- НЕЗАПРЕЩЕННЫЙ
—При активных атаках ZERO-DAYПодробности ➤ https://t.co/PXfkKFY250 #кибербезопасность pic.twitter.com/USFNpCcQ5t
- Новости хакеров (@TheHackersNews) 23 марта 2020 г.
Microsoft подтвердила, что компьютеры под управлением Windows 7 являются наиболее уязвимыми для недавно обнаруженных уязвимостей безопасности. Компания отмечает, что уязвимость удаленного выполнения кода в парсинге шрифтов используется в «ограниченных целевых атаках» на системы Windows 7. Что касается систем Windows 10, то объем уязвимостей довольно ограничен, указал на консультативный :
«Есть несколько способов, которыми злоумышленник может воспользоваться уязвимостью, например, убедить пользователя открыть специально созданный документ или просмотреть его на панели предварительного просмотра Windows», - отметили в Microsoft. Хотя исправлений для Windows 10, Windows 8.1 и Windows 7 пока нет, компания объясняет, что «для систем, работающих под управлением поддерживаемых версий Windows 10, успешная атака может привести только к выполнению кода в контексте песочницы AppContainer с ограниченными привилегиями и возможностями.
https://twitter.com/BleepinComputer/status/1242520156296921089
Microsoft не предоставила подробных сведений о масштабах воздействия недавно обнаруженных недостатков безопасности. Компания не указала, успешно ли эксплойты выполняют вредоносные полезные нагрузки или просто пытаются это сделать.
Как защититься от новых уязвимостей Windows 0-Day RCE в библиотеке Adobe Type Manager?
Microsoft еще не выпустила официально патч для защиты от недавно обнаруженных уязвимостей безопасности RCE. Ожидается, что патчи появятся во вторник, скорее всего, на следующей неделе. А пока Microsoft предлагает использовать один или несколько из следующих обходных путей:
- Отключение панели предварительного просмотра и области сведений в проводнике Windows
- Отключение службы WebClient
- Переименуйте ATMFD.DLL (в системах Windows 10, в которых есть файл с таким именем) или, альтернативно, отключите файл из реестра.
Первая мера помешает проводнику Windows автоматически отображать шрифты открытого типа. Кстати, эта мера предотвратит некоторые типы атак, но не остановит локального пользователя, прошедшего аутентификацию, от запуска специально созданной программы для использования уязвимости.
Злоумышленники используют неисправленные уязвимости Windows нулевого дня, сообщила Microsoft в своем информационном сообщении по безопасности в понедельник. Компания заявила, что «ограниченные целевые атаки» могут использовать две незащищенные уязвимости удаленного выполнения кода (RCE) в Windows… https://t.co/JHjAgO4sSi через @InfoSecHotSpot pic.twitter.com/gAhLt46CGT
- Шон Харрис (@InfoSecHotSpot) 24 марта 2020 г.
Отключение службы WebClient блокирует вектор, который злоумышленники, скорее всего, будут использовать для удаленных эксплойтов. Этот обходной путь заставит пользователей получать запрос на подтверждение перед открытием произвольных программ из Интернета. Тем не менее, злоумышленники по-прежнему могут запускать программы, расположенные на компьютере целевого пользователя или в локальной сети.
Последний предложенный обходной путь довольно проблематичен, поскольку он вызовет проблемы с отображением для приложений, использующих встроенные шрифты, и может привести к тому, что некоторые приложения перестанут работать, если они используют шрифты OpenType.
Обнаружена RCE-уязвимость, затрагивающая Windows, серьезность которой Microsoft оценивает как критическую. https://t.co/oA9cdxJMTW pic.twitter.com/TZP6nESJCN
- Нил Митчелл-Хантер (@polo_nmh) 24 марта 2020 г.
Как всегда, пользователям ОС Windows рекомендуется внимательно следить за подозрительными запросами на просмотр ненадежных документов. Microsoft пообещала постоянное исправление, но пользователям следует воздерживаться от доступа или открытия документов из непроверенных или ненадежных источников.
Теги Windows