400-0715-088

當前位置:首頁 > 新聞動態 > 網智動態
【漏洞通告】微軟Type 1字體分析遠程執行代碼漏洞通告
2020-03-26

 

TAG Microsoft Type 1字體、遠程代碼執行
公開日期: 2020-03-24
危害級別: 嚴重

 


01.漏洞描述

 

 


3月24日,微軟發布了編號為ADV200006的安全通告,通告指出Adobe Type ManagerLibrary在處理multi-master字體(AdobeType 1 PostScript格式)時存在缺陷,攻擊者可以精心構造惡意文檔并誘使用戶使用WindowsPreview pane預覽,從而利用該漏洞來遠程執行代碼。
該漏洞為Microsoft SMBv3網絡通信協議中的預身份驗證遠程代碼執行漏洞。SMBv3在處理特定請求時,存在遠程代碼執行漏洞,該漏洞影響SMBv3服務器和SMBv3客戶端。未經身份驗證的攻擊者可通過向受影響SMBv3服務器發送特制的壓縮數據包來利用此漏洞,攻擊者還可以通過配置惡意SMBv3服務器并誘導用戶連接來利用此漏洞,成功利用此漏洞的遠程攻擊者可在目標機器上執行任意代碼。
微軟3月25日承認已經有黑客利用尚未公開的漏洞對所有尚處于支持狀態的Windows設備發起了網絡攻擊,而且目前還沒有針對該漏洞的安全補丁。
目前黑客已經利用該漏洞來誘騙打開一個特制文檔或使其在Windows預覽窗格中查看文檔,同時,惡意攻擊者可通過多種方式利用此漏洞,包括誘使用戶打開含有攻擊代碼的文檔或在Windows預覽窗格中查看縮略圖等方式,在一些攻擊的終端用戶場景中可以增加無感知利用,導致受害者不易發現系統被入侵。
雖然漏洞屬于高危性的,但是好消息是,黑客利用兩個RCE漏洞進行野外定向攻擊的數量是“有限的”。因為,根據微軟指出,黑客對運行受支持版本Windows 10系統的成功攻擊只能在有限的AppContainer沙箱上進行。

 

參考鏈接:

https://portal.msrc.microsoft.com/en-US/security-uidance/advisory/adv200006

 


02.受影響的版本



  • Windows10 for 32-bit Systems

  • Windows10 for x64-based Systems

  • Windows10 Version 1607 for 32-bit Systems

  • Windows10 Version 1607 for x64-based Systems

  • Windows10 Version 1709 for 32-bit Systems

  • Windows10 Version 1709 for ARM64-based Systems

  • Windows10 Version 1709 for x64-based Systems

  • Windows10 Version 1803 for 32-bit Systems

  • Windows10 Version 1803 for ARM64-based Systems

  • Windows10 Version 1803 for x64-based Systems

  • Windows10 Version 1809 for 32-bit Systems

  • Windows10 Version 1809 for ARM64-based Systems

  • Windows10 Version 1809 for x64-based Systems

  • WindowsServer 2008 for Itanium-Based Systems Service Pack 2

  • WindowsServer 2008 for x64-based Systems Service Pack 2

  • WindowsServer 2008 for x64-based Systems Service Pack 2 (Server Core installation)

  • WindowsServer 2008 R2 for Itanium-Based Systems Service Pack 1

  • WindowsServer 2008 R2 for x64-based Systems Service Pack 1

  • WindowsServer 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

  • WindowsServer 2012

  • WindowsServer 2012 (Server Core installation)

  • WindowsServer 2012 R2

  • WindowsServer 2012 R2 (Server Core installation)

  • WindowsServer 2016

  • WindowsServer 2016 (Server Core installation)

  • WindowsServer 2019

  • WindowsServer 2019 (Server Core installation

 


03.漏洞檢測



打開資源管理器,在菜單欄中點擊“查看”,檢查是否有開啟“預覽窗格”或“詳細信息窗格”,如果有開啟其中任意一個,則可能存在漏洞風險。

 


04.補丁信息



目前微軟暫未發布修復該漏洞的安全補丁,請相關用戶持續關注官方動態:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200006

 


05.處置建議



受影響的用戶可選擇下列官方提供的三類方法進行防護:

1.在Windows資源管理器中禁用預覽窗格和詳細信息窗格

在Windows資源管理器中禁用預覽和詳細信息窗格將阻止在Windows資源管理器中自動顯示OTF字體。雖然可以防止在Windows資源管理器中查看惡意文件,但并不能阻止經過身份驗證的本地用戶運行特殊設計的程序來利用此漏洞。注:使用該方法后Windows資源管理器將不會再自動顯示OTF 字體。

 

Windows7、Windows 8.1 和Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2禁用預覽窗格:

(1)打開Windows資源管理器,單擊組織,然后單擊布局。

(2)清除詳細信息窗格和預覽窗格的菜單選項。

(3)單擊整理,然后單擊文件夾和搜索選項。

(4)單擊視圖選項卡。在高級設置下,選中“始終顯示圖標,從不顯示縮略圖框”。(如需撤銷該方法,取消勾選即可恢復)

(5)關閉所有 Windows 資源管理器使配置生效。

 

Windows 10 和Windows Server 2016、Windows Server 2019禁用預覽窗格:

(1)打開 Windows 資源管理器(在Windows 10中為文件資源管理器),單擊視圖選項卡。

(2)清除詳細信息窗格和預覽窗格的菜單選項。

(3)單擊選項,然后單擊更改文件夾和搜索選項。

(4)單擊視圖選項卡。在高級設置下,勾選始終顯示圖標,從不顯示縮略圖框。(如需撤銷該方法,取消勾選即可恢復)

(5)關閉所有 Windows 資源管理器使配置生效。


2.禁用WebClient服務

要禁用WebClient服務,請按照以下步驟操作:

(1)單擊開始,單擊運行(或按鍵盤上的Windows鍵和R鍵),鍵入Services.msc,然后單擊確定。

(2)右鍵單擊WebClient服務,然后選擇屬性。

(3)將啟動類型更改為禁用。如果服務正在運行,請單擊停止。

(4)單擊確定,退出管理應用程序。


注:當禁用WebClient服務時,不會傳輸 Web 分布式創作和版本管理(WebDAV)請求,所有明確依賴于WebClient服務的任何服務將不會啟動,并且會在系統日志中記錄錯誤消息。例如,將無法從客戶端計算機訪問WebDAV共享。


3、重命名ATMFD.DLL


32位操作系統:

(1)在管理命令提示符處輸入以下命令:

  •  
  •  
  •  
  •  
  •  
cd "%windir%\system32"takeown.exe /f atmfd.dllicacls.exe atmfd.dll /save atmfd.dll.aclicacls.exe atmfd.dll /grant Administrators:(F) rename atmfd.dll x-atmfd.dll

(2)重啟系統。


64位操作系統:

(1)在管理命令提示符處輸入以下命令:

  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
cd "%windir%\system32"takeown.exe /f atmfd.dllicacls.exe atmfd.dll /save atmfd.dll.aclicacls.exe atmfd.dll /grant Administrators:(F) rename atmfd.dll x-atmfd.dllcd "%windir%\syswow64"takeown.exe /f atmfd.dllicacls.exe atmfd.dll /save atmfd.dll.aclicacls.exe atmfd.dll /grant Administrators:(F) rename atmfd.dll x-atmfd.dll

(2)重啟系統。

 

對于Windows 8.1 及更低版本操作系統還可通過以下操作禁用ATMFD(官方建議謹慎使用):

方法1:手動編輯注冊表

1.以管理員的身份運行regedit.exe。

2.在“注冊表編輯器”中,創建以下子項并將其 DWORD 值設置為 1:HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows\DisableATMFD, DWORD = 1

3.關閉“注冊表編輯器”并重啟系統。

 

方法2:使用腳本修改注冊表

1.創建一個包含以下文本并且名為ATMFD-disable.reg的文本文件:

  •  
  •  
  •  
Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]"DisableATMFD"=dword:00000001

2.運行regedit.exe。

3.在注冊表編輯器中,單擊“文件”菜單,然后單擊“導入”。

4.選擇步驟1中創建的ATMFD-disable.reg文件。(注意:如果文件未列于預期位置,請確保尚未自動對該文件給定.txt文件擴展名,或將對話框的文件擴展名參數更改為“所有文件”)。

5.單擊“打開”,然后單擊“確定”,關閉注冊表編輯器。

 

注:使用以上方法后依賴嵌入字體技術的應用程序將無法正確顯示。禁用ATMFD.DLL可能導致某些使用OpenType字體的應用程序停止正常運行。Microsoft Windows 自身不會發布任何OpenType字體。但是,第三方應用程序可能會安裝這些字體并且可能會受到此更改影響。撤銷該方法請參考微軟官方通告中對應的系統進行操作。

 

 

聲明

本安全公告僅用來描述可能存在的安全風險,網智科技不為此安全公告提供保證或承諾。采納和實施公告中的建議則完全由用戶自己決定,其可能引起的問題和結果也完全由用戶承擔。


關于網智科技

內蒙古網智科技服務有限責任公司(簡稱:網智科技)是一家主營業務為網絡安全與技術服務的服務型互聯網安全科技企業,可為客戶提供專業的信息安全等保整改、風險評估等網絡安全服務及相關網絡安全整體解決方案。網智科技始終秉承“行業領先、專業追求、客戶至上、誠信經營、穩健發展”的經營理念,為用戶提供優質放心的產品、全面貼心的服務。

 

返回上一頁
相關資訊
    無相關信息
產品與服務業
客戶案例更多>>
  • 包頭市環境保護產業協會
  • 和林縣網信辦
  • 九原區網信辦
  • 蘇尼特右旗公安局
  • 四子王旗公安局
  • 內蒙古網絡文化協會
  • 內蒙古新聞網
  • 包頭東河區互聯網信息辦公室
湖北30选5今天开奖号码