微軟官方今天發(fā)布了編號(hào)為的安全通告,其中包含兩枚Adobe字體管理庫相關(guān)的嚴(yán)重遠(yuǎn)程代碼執(zhí)行漏洞,其中一枚漏洞為奇安信代碼安全實(shí)驗(yàn)室提交,公告中指出這兩枚漏洞已遭在野利用。
鑒于漏洞危害很大,建議客戶關(guān)注微軟通告并采取緩解措施。
奇安信 CERT
漏洞描述
微軟官方今天發(fā)布了編號(hào)為的安全通告,其中包含兩枚Adobe字體管理庫(Adobe Type )相關(guān)的嚴(yán)重遠(yuǎn)程代碼執(zhí)行漏洞,其中一枚漏洞為奇安信代碼安全實(shí)驗(yàn)室提交。
Adobe字體管理庫(Adobe Type )不正確地處理 Adobe Type 1 字體格式時(shí)會(huì)引發(fā)嚴(yán)重的遠(yuǎn)程代碼執(zhí)行 (RCE) 漏洞。微軟官方的安全通告指出這兩枚漏洞已遭在野利用。
公告還指出,攻擊者利用漏洞的方式有多種,如說服用戶打開一個(gè)特殊構(gòu)造的文本或在 預(yù)覽窗格中查看該文本。另外,目前已存在一定范圍的利用該漏洞的針對(duì)性網(wǎng)絡(luò)攻擊。微軟目前已推出緩解措施和應(yīng)變措施,并正在著手推出修復(fù)方案。
奇安信代碼安全實(shí)驗(yàn)室的安全專家指出,該漏洞影響 XP 至 10的所有系統(tǒng)版本,不過對(duì)不同系統(tǒng)版本產(chǎn)生的危害不一樣,例如在 7、 XP環(huán)境下可獲得內(nèi)核權(quán)限(危害巨大)、在 10的環(huán)境下可獲得沙箱內(nèi)權(quán)限(危害小)。
鑒于漏洞危害很大,建議客戶關(guān)注微軟通告并等候補(bǔ)丁更新。
風(fēng)險(xiǎn)等級(jí)
奇安信 CERT風(fēng)險(xiǎn)評(píng)級(jí)為:高危
風(fēng)險(xiǎn)等級(jí):藍(lán)色(一般事件)
影響范圍
官方描述:
10 for 32-bit
10 for x64-based
10 1607 for 32-bit
10 1607 for x64-based
10 1709 for 32-bit
10 1709 for ARM64-based
10 1709 for x64-based
10 1803 for 32-bit
10 1803 for ARM64-based
10 1803 for x64-based
10 1809 for 32-bit
10 1809 for ARM64-based
10 1809 for x64-based
10 1903 for 32-bit
10 1903 for ARM64-based
10 1903 for x64-based
10 1909 for 32-bit
10 1909 for ARM64-based
10 1909 for x64-based
7 for 32-bit Pack 1
7 for x64-based Pack 1
8.1 for 32-bit
8.1 for x64-based
RT 8.1
2008 for 32-bit Pack 2
2008 for 32-bit Pack 2 ( Core )
2008 for -Based Pack 2
2008 for x64-based Pack 2
2008 for x64-based Pack 2 ( Core )
2008 R2 for -Based Pack 1
2008 R2 for x64-based Pack 1
2008 R2 for x64-based Pack 1 ( Core )
2012
2012 ( Core )
2012 R2
2012 R2 ( Core )
2016
2016 ( Core )
2019
2019 ( Core )
, 1803 ( Core )
, 1903 ( Core )
, 1909 ( Core )
奇安信代碼安全實(shí)驗(yàn)室的安全專家指出 XP亦受影響
處置建議
根據(jù)微軟提供的以下臨時(shí)緩解措施進(jìn)行配置:
在資源管理器中禁用預(yù)覽窗格和詳細(xì)信息窗格:
在資源管理器中禁用“預(yù)覽”和“詳細(xì)信息”窗格將阻止在資源管理器中自動(dòng)顯示OTF字體。雖然這可以防止在資源管理器中查看惡意文件,但不能阻止經(jīng)過身份驗(yàn)證的本地用戶運(yùn)行特制程序來利用此漏洞。要在 2008, 7, 2008 R2, 2012, 2012 R2和 8.1中禁用這些窗格,請(qǐng)執(zhí)行以下步驟:
1.打開資源管理器,單擊“ 組織”,然后單擊“ 布局”。2.清除“ 詳細(xì)信息”窗格和“ 預(yù)覽”窗格的菜單選項(xiàng)。3.單擊“ 整理”,然后單擊“ 文件夾和搜索選項(xiàng)”。4.單擊查看選項(xiàng)卡。5.在“ 高級(jí)設(shè)置”下,選中“ 始終顯示圖標(biāo),從不顯示縮略圖”框。6.關(guān)閉資源管理器的所有打開的實(shí)例,以使更改生效。
對(duì)于 2016注冊(cè)編輯器無法導(dǎo)入, 10和 2019,請(qǐng)執(zhí)行以下步驟:
1.打開資源管理器,單擊“ 查看”選項(xiàng)卡。2.清除“ 詳細(xì)信息”窗格和“ 預(yù)覽”窗格的菜單選項(xiàng)。3.單擊選項(xiàng),然后單擊更改文件夾和搜索選項(xiàng)。4.單擊查看選項(xiàng)卡。5.在“ 高級(jí)設(shè)置”下,選中“ 始終顯示圖標(biāo),從不顯示縮略圖”框。6.關(guān)閉資源管理器的所有打開的實(shí)例,以使更改生效。
緩解措施造成的影響:
資源管理器不會(huì)自動(dòng)顯示OTF字體。
重命名ATMFD.DLL:
請(qǐng)注意:從 10版本1709開始的 10安裝中不存在ATMFD.DLL。較新的版本沒有此DLL。有關(guān)更多信息,請(qǐng)參見緩解部分。
對(duì)于32位系統(tǒng):
1.管理員權(quán)限下使用命令提示符輸入以下命令:
cd "%windir%\system32"
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F)
rename atmfd.dll x-atmfd.dll
2.重新啟動(dòng)系統(tǒng)
對(duì)于64位系統(tǒng):
1.管理員權(quán)限下使用命令提示符輸入以下命令:
cd "%windir%\system32"
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F)
rename atmfd.dll x-atmfd.dll
cd "%windir%\syswow64"
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F)
rename?atmfd.dll?x-atmfd.dll
2.重新啟動(dòng)系統(tǒng)
8.1或更低版本操作系統(tǒng)的可選操作(禁用ATMFD):
注意:不正確地使用注冊(cè)表編輯器會(huì)導(dǎo)致嚴(yán)重的問題,可能需要您重新安裝操作系統(tǒng)。無法保證可以解決由于注冊(cè)表編輯器使用不當(dāng)而導(dǎo)致的問題。使用注冊(cè)表編輯器需要您自擔(dān)風(fēng)險(xiǎn)。有關(guān)如何編輯注冊(cè)表的信息,請(qǐng)?jiān)谧?cè)表編輯器(.exe)中查看“更改鍵和值”幫助主題,或在中查看“在注冊(cè)表中添加和刪除信息”和“編輯注冊(cè)表數(shù)據(jù)”幫助主題。
方法1(手動(dòng)編輯系統(tǒng)注冊(cè)表):
1.以管理員身份運(yùn)行.exe。2.在注冊(cè)表編輯器中,導(dǎo)航到以下子項(xiàng)(或創(chuàng)建它)并將其DWORD值設(shè)置為1:HKLM\\\ NT\\\, DWORD = 13.關(guān)閉注冊(cè)表編輯器,然后重新啟動(dòng)系統(tǒng)。
方法2(使用托管部署腳本):
1.創(chuàng)建一個(gè)名為ATMFD-.reg的文本文件,其中包含以下文本:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Windows]
"DisableATMFD"=dword:00000001
2.運(yùn)行.exe。3.在注冊(cè)表編輯器中,單擊“ 文件”菜單,然后單擊“ 導(dǎo)入”。4.瀏覽并選擇您在第一步中創(chuàng)建的ATMFD-.reg文件。(請(qǐng)注意,如果未在您期望的位置列出您的文件,請(qǐng)確保是否使用自動(dòng)為該文件指定.txt文件擴(kuò)展名,或?qū)?duì)話框的文件擴(kuò)展名參數(shù)更改為All Files)。5.單擊“ 打開”,然后單擊“ 確定”關(guān)閉注冊(cè)表編輯器。
緩解措施造成的影響:
依賴嵌入式字體技術(shù)的應(yīng)用程序?qū)o法正確顯示。禁用ATMFD.DLL可能會(huì)導(dǎo)致某些應(yīng)用程序使用字體而無法正常運(yùn)行。 不會(huì)本地發(fā)布任何字體。但是,第三方應(yīng)用程序可以安裝它們,并且它們可能會(huì)受到此更改的影響。
8.1或更低版本操作系統(tǒng)的可選操作(啟用ATMFD):
注意:不正確地使用注冊(cè)表編輯器會(huì)導(dǎo)致嚴(yán)重的問題,可能需要您重新安裝操作系統(tǒng)。無法保證可以解決由于注冊(cè)表編輯器使用不當(dāng)而導(dǎo)致的問題。使用注冊(cè)表編輯器需要您自擔(dān)風(fēng)險(xiǎn)。有關(guān)如何編輯注冊(cè)表的信息,請(qǐng)?jiān)谧?cè)表編輯器(.exe)中查看“更改鍵和值”幫助主題,或在中查看“在注冊(cè)表中添加和刪除信息”和“編輯注冊(cè)表數(shù)據(jù)”幫助主題。
方法1(手動(dòng)編輯系統(tǒng)注冊(cè)表):
1.以管理員身份運(yùn)行.exe。2.在注冊(cè)表編輯器中注冊(cè)編輯器無法導(dǎo)入,導(dǎo)航到以下子項(xiàng)并將其DWORD值設(shè)置為0:
HKLM\Software\Microsoft\Windows
NT\CurrentVersion\Windows\DisableATMFD, DWORD = 0
3.關(guān)閉注冊(cè)表編輯器,然后重新啟動(dòng)系統(tǒng)。
方法2(使用托管部署腳本):
1.創(chuàng)建一個(gè)名為ATMFD-.reg的文本文件,其中包含以下文本:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"DisableATMFD"=dword:00000000
2.運(yùn)行.exe。3.在注冊(cè)表編輯器中,單擊“ 文件”菜單,然后單擊“ 導(dǎo)入”。4.導(dǎo)航到并選擇您在第一步中創(chuàng)建的ATMFD-.reg文件。(請(qǐng)注意,如果未在您期望的位置列出您的文件,請(qǐng)確保未自動(dòng)為該文件指定.txt文件擴(kuò)展名,或?qū)?duì)話框的文件擴(kuò)展名參數(shù)更改為All Files)。5.單擊“ 打開”,然后單擊“ 確定”關(guān)閉注冊(cè)表編輯器。
參考資料[1]
時(shí)間線
2020年3月24日,奇安信 CERT發(fā)布安全風(fēng)險(xiǎn)通告