BłądCybersecurityExploitWindows

Uwaga! Dwa krytyczne i niezałatane błędy na wszystkie wersje systemu Windows

Safebit | Krytyczny błąd

Firma Microsoft wydała ostrzeżenie dotyczące bezpieczeństwa, ostrzegając użytkowników systemu Windows przed dwoma nowymi krytycznymi, niezałatanymi błędami typu 0-day, które mogą umożliwić hakerom zdalne przejęcie kontroli nad komputerem.

Według Microsoftu obydwa błędy są na razie wykorzystywane w ograniczonych i ukierunkowanych atakach i wpływają niestety na wszystkie wersje systemu operacyjnego Windows – w tym najnowsze wersje systemu Windows 10, 8.1 i Server 2008, 2012, 2016 i 2019, a także Windows 7, dla których Microsoft zakończył wsparcie 14 stycznia 2020 r.

Obie luki znajdują się w bibliotece Adobe Type Manager Library, oprogramowaniu służącym do analizy czcionek, który używa Eksploratora Windows do wyświetlania zawartości pliku w „okienku podglądu” lub „szczegółach” bez konieczności otwierania go przez użytkownika.

Błąd występuje w sytuacji, gdy biblioteka Adobe Type Manager nieprawidłowo obsłuży specjalnie spreparowaną czcionkę typu PostScript Adobe Type 1, umożliwiając tym samym atakującym wykonanie dowolnego złośliwego kodu w atakowanych systemach poprzez przekonanie użytkownika do otwarcia specjalnego spreparowanego dokumentu, np. poprzez phishing lub przeglądając plik w okienku podglądu systemu Windows.

Nie wiadomo jeszcze, czy można te błędy wykorzystywać za pośrednictwem przeglądarki internetowej, przekonując użytkownika do odwiedzenia strony internetowej zawierającej specjalnie spreparowane złośliwe czcionki OTF, jednak istnieją także inne sposoby, w których osoba atakująca może wykorzystać tę lukę, na przykład za pośrednictwem usługi klienta WebDAV (Distributed Distributed Authoring and Versioning).

Na ten moment brakuje łatki – jak się bronić

Microsoft poinformował, że jest świadomy problemu i pracuje nad łatką bezpieczeństwa, którą firma opublikuje wszystkim użytkownikom systemu Windows w ramach swoich następnych aktualizacji, we wtorek 14 kwietnia.

1. Wyłącz okienko podglądu i okienko szczegółów w Eksploratorze Windows
Wszystkim użytkownikom systemu Windows zaleca się wyłączenie funkcji okienka podglądu i okienka szczegółów w Eksploratorze Windows jako tymczasowe rozwiązanie.

Aby wyłączyć funkcję okienka podglądu i okienka szczegółów:

  • Otwórz Eksploratora Windows i kliknij Widok.
  • Odznacz opcje menu Okienko szczegółów i Okienko podglądu.
  • Kliknij w Organizuj, a następnie Opcje folderów i wyszukiwania.
  • Kliknij kartę Widok.
  • W obszarze Ustawienia zaawansowane zaznacz pole Zawsze pokazuj ikony, nigdy miniatur.
  • Zamknij wszystkie otwarte okienka Eksploratora Windows, aby zmiana zaczęła obowiązywać.

Należy jednak zauważyć, że chociaż to tymczasowe rozwiązanie uniemożliwia przeglądanie złośliwych plików w Eksploratorze Windows, nie rozwiązuje ono problemu wykorzystania błędu w oprogramowaniu firm trzecich.

2. Wyłącz usługę WebClient

Zaleca się również wyłączenie usługi Windows WebClient, aby zapobiec atakom za pośrednictwem usługi klienta WebDAV.

  • Kliknij Start, kliknij Uruchom (lub naciśnij klawisz Windows i R na klawiaturze), wpisz services.msc, a następnie kliknij OK.
  • Kliknij prawym przyciskiem myszy usługę WebClient i wybierz Właściwości.
  • Zmień typ uruchamiania na Wyłączony. Jeśli usługa jest uruchomiona, kliknij Zatrzymaj.
  • Kliknij OK i zamknij aplikację do zarządzania.

„Przy zastosowaniu tego rozwiązania atakujący, którzy z powodzeniem wykorzystają tę lukę, mogą nadal uruchamiać programy znajdujące się na komputerze docelowego użytkownika lub w sieci lokalnej (LAN), ale użytkownicy zostaną poproszeni o potwierdzenie przed otwarciem złośliwego oprogramowania”- ostrzegł Microsoft.

3) Zmień nazwę lub usuń plik ATMFD.DLL

Microsoft zaleca użytkownikom także zmianę nazwy pliku sterownika czcionek Adobe Type Manager (ATMFD.dll), aby tymczasowo wyłączyć funkcję osadzonych czcionek, co może spowodować, że niektóre aplikacje innych firm mogą przestać działać.

Wprowadź następujące polecenia w konsoli administratora:

Dla systemów 32-bitowych:
cd "%windir%\system32"
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F)
rename atmfd.dll x-atmfd.dll

Dla systemów 64-bitowych:

cd "%windir%\system32"
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F)
rename atmfd.dll x-atmfd.dll
cd "%windir%\syswow64"
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F)
rename atmfd.dll x-atmfd.dll

Zrestartuj system.

 

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *