微软近期发布紧急公告,提醒用户在Adobe Type Manager 库中存在两个新的漏洞。据悉,已经有攻击者在利用这两个漏洞发起攻击。
Adobe Type Manager库是什么?与漏洞有什么关系?
曾有一段时间,用户必须额外安装Adobe Type Manager才能够在Windows系统中查看Adobe专有的字体。但显然,这种方式对终端用户来说非常麻烦,因此Adobe最终决定开放其格式规范,让微软将字体支持添加到操作系统中。这就是Adobe Type Manager 库的作用。
微软表示,此次的漏洞与这个库处理Adobe公司Type 1 PostScript这种特定格式的字体有关。攻击者可以通过某种方式创建一种Type 1 PostScript字体,从而获取在Windows机器上执行任意代码的能力。入侵者有多种利用该漏洞的攻击方法,如让受害者打开恶意文档,又或者仅仅是通过”预览窗格”查看恶意文档即可。(此处的预览窗格特指Windows系统的窗格,而不是微软Outlook邮件客户端的类似功能)
攻击者还可以通过WebDAV(基于Web的分布式编写和版本控制)这个HTTP扩展发起攻击,该扩展让用户得以在同一文档上进行协作编辑。
微软建议用户禁用WebClient服务,因为上述功能需要经过该服务才能正常运行。他们强调,这是最有可能发生远程攻击的途径。
哪些系统会受到影响?
该漏洞广泛存在于40多个不同版本的操作系统中,涵盖了Windows 10、Windows 7、Windows 8.1、Windows Server 2008、Windows Server 2012、 Windows Server 2016以及Windows Server 2019。微软安全通报ADV200006中列出了所有受到影响的系统。
同时,微软解释道,在受支持的Windows10版本中,攻击者只能在AppContainer沙盒中(一种进程隔离机制)以有限的权限和能力执行恶意代码。
更新:微软表示,该漏洞在Windows 10系统下被利用的可能性很低,并将该问题的级别从”严重”降低为”重要”。微软建议Windows 10用户不必对系统进行调整,并再次强调针对性攻击发生在以Windows 7为基础的系统中。
目前有可用补丁吗?
截止本文发布之前,微软还未发布针对Adobe Type Manger库漏洞的修复补丁。微软计划在下一个周二补丁日,即4月14日发布补丁。我们将持续跟进补丁发布的情况并及时更新本文。
用户能做什么?
卡巴斯基建议,用户应该使用可靠的安全解决方案保护邮件(这是最常见的恶意文档传播方式),同时使用能够阻止恶意活动以及漏洞攻击的端点保护解决方案。卡巴斯基端点安全企业高级版可以同时兼顾两项任务,为用户提供全面防护。另外,如果你不确定文档和电子邮件附件的来源,请不要随便打开它们。
由于目前暂无更新补丁可用,微软建议用户按照以下缓解方式操作。
- 关闭预览和详细信息窗格
- 关闭WebClient服务(从而禁用WebDAV)
- 禁用ATMFD.DLL库
你可以在微软安全更新指南中找到具体的操作步骤。需要注意的是,禁用WebClient服务后,WebDAV请求以及依赖WebDAV的应用将无法正常工作,禁用ATMFD.DLL后,使用该库的应用也同样无法正常工作。