大網(wǎng)安協(xié)【2020-8】
大連市網(wǎng)絡(luò)安全通報機制合作單位深信服公司根據(jù)微軟官方披露的通告第一時間翻譯微軟Type 1字體解析遠程代碼執(zhí)行漏洞()并提出了分析報告和解決方案。
一、漏洞分析1.1 Adobe Type 介紹
Adobe Type (ATM)是由Adobe 創(chuàng)建以用于其?Type 1字體的一系列計算機程序的名稱。和MacOS等現(xiàn)代操作系統(tǒng)都內(nèi)置了對字體的支持,從而無需使用Adobe的第三方實用程序。
Type 1矢量輪廓字體是的一種特殊形式(全球印刷和成像標準),其中包含從可縮放的線條和曲線來構(gòu)建輪廓的說明。
1.2 漏洞描述
,Type 1字體解析遠程代碼執(zhí)行漏洞。該漏洞屬于0day漏洞,可能導致遠程代碼執(zhí)行,且目前已發(fā)現(xiàn)在野攻擊。內(nèi)置的Adobe Type 庫在解析特制的Adobe Type 1 格式時處理不恰當,造成了遠程代碼執(zhí)行。
攻擊者可以通過多種方式利用這些漏洞。例如,攻擊者可以誘使用戶打開特制文檔或在預(yù)覽窗格中查看它。資源管理器(在 10中稱為文件資源管理器)文件管理器應(yīng)用程序使用預(yù)覽窗格來預(yù)覽圖片,視頻和其他內(nèi)容。
二、影響范圍所有當前受支持的版本都會受到影響,包括 10以及 7, 8.1, RT, 2008, 2012, 2016和 2019的版本。微軟表示,盡管 7已經(jīng)終止支持,但它也受到了影響。
三、解決方案3.1修復建議
該漏洞微軟目前尚未發(fā)布針對此漏洞的安全更新補丁,但官方給出了緩解方案:
第一種 在資源管理器中禁用預(yù)覽窗格和詳細信息窗格
在資源管理器中禁用“預(yù)覽”和“詳細信息”窗格將阻止在資源管理器中自動顯示OTF字體。雖然這可以防止在資源管理器中查看惡意文件,但不能阻止經(jīng)過身份驗證的本地用戶運行特制程序來利用此漏洞。要在 2008, 7, 2008 R2, 2012, 2012 R2和 8.1中禁用這些窗格,請執(zhí)行以下步驟:
(1)打開資源管理器,單擊“組織”,然后單擊“布局”。
(2)清除“詳細信息”窗格和“預(yù)覽”窗格的菜單選項。
(3)單擊“整理”,然后單擊“文件夾和搜索選項”。
(4)單擊查看選項卡。
(5)在“高級設(shè)置”下,選中“始終顯示圖標,從不顯示縮略圖”框。
(6)關(guān)閉資源管理器的所有打開的實例,以使更改生效。
對于 2016, 10和 2019,請執(zhí)行以下步驟:
(1)打開資源管理器,單擊“查看”選項卡。
(2)清除“詳細信息”窗格和“預(yù)覽”窗格的菜單選項。
(3)單擊選項,然后單擊更改文件夾和搜索選項。
(4)單擊查看選項卡。
(5)在“高級設(shè)置”下,選中“始終顯示圖標,從不顯示縮略圖”框。
(6)關(guān)閉資源管理器的所有打開的實例,以使更改生效。
緩解措施的影響:
資源管理器不會自動顯示OTF字體。
第二種 禁用服務(wù)
禁用服務(wù)可以通過Web分布式創(chuàng)作和版本控制()客戶端服務(wù)阻止最可能的遠程攻擊媒介,從而幫助保護受影響的系統(tǒng)免遭利用此漏洞的嘗試。應(yīng)用此替代方法后,成功利用此漏洞的遠程攻擊者仍然有可能導致系統(tǒng)運行位于目標用戶計算機或局域網(wǎng)(LAN)上的程序注冊編輯器無法導入,但是在從 2003中打開任意程序之前,系統(tǒng)將提示用戶進行確認互聯(lián)網(wǎng)。
要禁用服務(wù),請執(zhí)行以下步驟:
(1)單擊開始,單擊運行(或按鍵盤上的鍵和R),鍵入.msc,然后單擊確定。
(2)右鍵單擊服務(wù),然后選擇屬性。
(3)將啟動類型更改為已禁用。如果服務(wù)正在運行,請單擊“停止”。
(4)單擊確定,然后退出管理應(yīng)用程序。
緩解措施的影響:
禁用服務(wù)時,將不發(fā)送Web分布式創(chuàng)作和版本控制()請求。此外,任何明確依賴于服務(wù)的服務(wù)都不會啟動,并且錯誤消息將記錄在系統(tǒng)日志中。例如,將無法從客戶端計算機訪問共享。
第三種 重命名ATMFD.DLL
請注意:從 10版本1709開始的 10安裝中不存在ATMFD.DLL。較新的版本沒有此DLL。
對于32位系統(tǒng):
(1)在管理命令提示符處輸入以下命令:
cd "%%\"
.exe /f atmfd.dll
.exe atmfd.dll /save atmfd.dll.acl
.exe atmfd.dll /grant :(F)
atmfd.dll x-atmfd.dll
(2)重新啟動系統(tǒng)。
對于64位系統(tǒng):
(1)在管理命令提示符處輸入以下命令:
cd "%%\"
.exe /f atmfd.dll
.exe atmfd.dll /save atmfd.dll.acl
.exe atmfd.dll /grant :(F)
atmfd.dll x-atmfd.dll
cd "%%\"
.exe /f atmfd.dll
.exe atmfd.dll /save atmfd.dll.acl
.exe atmfd.dll /grant :(F)
atmfd.dll x-atmfd.dll
(2)重新啟動系統(tǒng)。
8.1或更低版本操作系統(tǒng)的可選過程(禁用ATMFD):
注意不正確地使用注冊表編輯器會導致嚴重的問題,可能需要您重新安裝操作系統(tǒng)。無法保證可以解決由于注冊表編輯器使用不當而導致的問題。使用注冊表編輯器需要您自擔風險。有關(guān)如何編輯注冊表的信息,請在注冊表編輯器(.exe)中查看“更改鍵和值”幫助主題,或在中查看“在注冊表中添加和刪除信息”和“編輯注冊表數(shù)據(jù)”幫助主題。
方法1(手動編輯系統(tǒng)注冊表):
(1)以管理員身份運行.exe。
(2)在注冊表編輯器中,導航到以下子項(或創(chuàng)建它)并將其DWORD值設(shè)置為1:HKLM\\\ NT\\\, DWORD = 1
(3)關(guān)閉注冊表編輯器,然后重新啟動系統(tǒng)。
方法2(使用托管部署腳本):
(1)創(chuàng)建一個名為ATMFD-.reg的文本文件,其中包含以下文本:
5.00
[\\\ NT\\]
""=dword:
(2)運行.exe。
(3)在注冊表編輯器中,單擊“文件”菜單,然后單擊“導入”。
(4)瀏覽并選擇您在第一步中創(chuàng)建的ATMFD-.reg文件。(請注意,如果未在您期望的位置列出您的文件,請確保未自動為該文件指定.txt文件擴展名,或?qū)υ捒虻奈募U展名參數(shù)更改為All Files)。
(5)單擊“打開”,然后單擊“確定”關(guān)閉注冊表編輯器。
緩解措施的影響:
依賴嵌入式字體技術(shù)的應(yīng)用程序?qū)o法正確顯示。禁用ATMFD.DLL可能會導致某些應(yīng)用程序使用字體而無法正常運行。 不會本地發(fā)布任何字體。但是,第三方應(yīng)用程序可以安裝它們,并且它們可能會受到此更改的影響。
3.2 緩解措施解除
第一種 在資源管理器中恢復使用預(yù)覽窗格和詳細信息窗格
要在資源管理器中為 2008注冊編輯器無法導入, 7, 2008 R2, 2012, 2012 R2和 8.1重新啟用預(yù)覽和詳細信息窗格,請執(zhí)行以下操作:
(1)打開資源管理器,單擊“組織”,然后單擊“布局”。
(2)選擇詳細信息窗格和預(yù)覽窗格菜單選項。
(3)單擊“整理”,然后單擊“文件夾和搜索選項”。
(4)單擊查看選項卡。
(5)在“高級設(shè)置”下,清除“始終顯示圖標,從不縮略圖”框。
(6)關(guān)閉資源管理器的所有打開的實例,以使更改生效。
對于 2016, 10和 2019:
(1)打開資源管理器,單擊“查看”選項卡。
(2)選擇詳細信息窗格和預(yù)覽窗格菜單選項。
(3)單擊選項,然后單擊更改文件夾和搜索選項。
(4)單擊查看選項卡。
(5)在“高級設(shè)置”下,清除“始終顯示圖標,從不縮略圖”框。
(6)關(guān)閉資源管理器的所有打開的實例,以使更改生效。
第二種 恢復使用服務(wù)
要重新啟用服務(wù),請執(zhí)行以下步驟:
(1)單擊開始,單擊運行(或按鍵盤上的鍵和R),鍵入.msc,然后單擊確定。
(2)右鍵單擊服務(wù),然后選擇屬性。
(3)將啟動類型更改為自動。如果該服務(wù)未運行,請單擊“開始”。
(4)單擊確定,然后退出管理應(yīng)用程序。
第三種 撤銷重命名ATMFD.DLL
對于32位系統(tǒng):
(1)在管理命令提示符處輸入以下命令:
cd "%%\"
x-atmfd.dll atmfd.dll
.exe atmfd.dll / "NT \"
.exe . / atmfd.dll.acl
(2)重新啟動系統(tǒng)。
對于64位系統(tǒng):
(1)在管理命令提示符處輸入以下命令:
cd "%%\"
x-atmfd.dll atmfd.dll
.exe atmfd.dll / "NT \"
.exe . / atmfd.dll.acl
cd "%%\"
x-atmfd.dll atmfd.dll
.exe atmfd.dll / "NT \"
.exe . / atmfd.dll.acl
(2)重新啟動系統(tǒng)。
8.1或更低版本操作系統(tǒng)的可選過程(啟用ATMFD):
注意不正確地使用注冊表編輯器會導致嚴重的問題,可能需要您重新安裝操作系統(tǒng)。無法保證可以解決由于注冊表編輯器使用不當而導致的問題。使用注冊表編輯器需要您自擔風險。有關(guān)如何編輯注冊表的信息,請在注冊表編輯器(.exe)中查看“更改鍵和值”幫助主題,或在中查看“在注冊表中添加和刪除信息”和“編輯注冊表數(shù)據(jù)”幫助主題。可執(zhí)行程序。
方法1(手動編輯系統(tǒng)注冊表):
(1)以管理員身份運行.exe。
(2)在注冊表編輯器中,導航到以下子項并將其DWORD值設(shè)置為0:
HKLM\\\ NT\\\, DWORD = 0
(3)關(guān)閉注冊表編輯器,然后重新啟動系統(tǒng)。
方法2(使用托管部署腳本):
(1)創(chuàng)建一個名為ATMFD-.reg的文本文件,其中包含以下文本:
5.00
[\\\ NT\\]
""=dword:
(2)運行.exe。
(3)在注冊表編輯器中,單擊“文件”菜單,然后單擊“導入”。
(4)導航到并選擇您在第一步中創(chuàng)建的ATMFD-.reg文件。(請注意,如果未在您期望的位置列出您的文件,請確保未自動為該文件指定.txt文件擴展名,或?qū)υ捒虻奈募U展名參數(shù)更改為All Files)。
(5)單擊“打開”,然后單擊“確定”關(guān)閉注冊表編輯器。
深信服科技股份公司簡介
深信服科技股份有限公司于2000年12月25日成立,英文名 Inc.,法定代表人何朝曦。
深信服是一家專注于企業(yè)級安全、云計算及IT基礎(chǔ)設(shè)施的產(chǎn)品和服務(wù)供應(yīng)商,擁有智安全、云計算和新IT三大業(yè)務(wù)品牌,致力于讓用戶的IT更簡單、更安全、更有價值。目前為網(wǎng)絡(luò)安全領(lǐng)域的領(lǐng)軍企業(yè),市值接近700億元,為上市的各網(wǎng)絡(luò)安全公司中盈利和市值最高的企業(yè)之一。
在全球設(shè)有50余個分支機構(gòu),員工數(shù)超過6500;同時在大連本地有25人左右的常駐員工團隊,在大連本地有較多案例。
聯(lián)系地址:遼寧省大連市沙河口區(qū)中山路594號金玉星海2單元2702
聯(lián)系人:李非凡
大連市信息網(wǎng)絡(luò)安全協(xié)會于2004年5月,經(jīng)市公安局和市民政局批準成立。協(xié)會是由大連市網(wǎng)絡(luò)安全領(lǐng)域的監(jiān)管部門、科研和教育部門、宣傳媒體,從事網(wǎng)絡(luò)安全技術(shù)服務(wù)以及產(chǎn)品研究開發(fā)、生產(chǎn)制造的企事業(yè)單位,大連市行政區(qū)劃內(nèi)的等級保護單位,以及從事網(wǎng)絡(luò)安全工作的專業(yè)技術(shù)人員和管理人員,自愿參加的非營利性團體,具備法人資格。協(xié)會貫徹執(zhí)行國家法律法規(guī)和政策,團結(jié)和組織社會各界關(guān)心支持等級保護工作的力量,宣傳等級保護工作,增強等級保護單位的安全防范能力,發(fā)揮等級保護監(jiān)管部門與等級保護單位之間的橋梁、紐帶作用,反映訴求,協(xié)助監(jiān)管機關(guān)規(guī)范和加強網(wǎng)絡(luò)安全等級保護工作的管理,逐步建立和完善的網(wǎng)絡(luò)安全保障機制,確保網(wǎng)絡(luò)安全的社會化和產(chǎn)業(yè)化的健康發(fā)展,做到為監(jiān)管部門、會員、行業(yè)發(fā)展服務(wù)。