【漏洞通告】微软Type 1字体分析远程执行代码漏洞通告

原创 威胁对抗能力部 [绿盟科技安全情报](javascript:void(0)???? 昨天

通告编号:NS-2020-0020

2020-03-24

TAG: **Microsoft、**Type 1字体、远程代码执行
漏洞危害: 攻击者利用漏洞**,可实现远程代码执行。
版本: 1.0

1

漏洞概述

3月24日,微软发布了编号为ADV200006的安全通告,通告指出Adobe Type Manager Library在处理multi-master字体(Adobe Type 1 PostScript格式)时存在缺陷,攻击者可以精心构造恶意文档并诱使用户使用Windows Preview pane预览,从而利用该漏洞来远程执行代码。

微软暂未发布相关的修复补丁,补丁预计在4月补丁日发布。攻击者可通过多种方式实施攻击,典型利用方式是结合社会工程学引诱受害者打开精心构造的恶意文档,目前已发现存在在野攻击,建议受影响的用户采取相应的缓解措施进行防护。

参考链接:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200006

SEE MORE →

2影响范围

受影响版本

  • Windows 10 for 32-bit Systems
  • Windows 10 for x64-based Systems
  • Windows 10 Version 1607 for 32-bit Systems
  • Windows 10 Version 1607 for x64-based Systems
  • Windows 10 Version 1709 for 32-bit Systems
  • Windows 10 Version 1709 for ARM64-based Systems
  • Windows 10 Version 1709 for x64-based Systems
  • Windows 10 Version 1803 for 32-bit Systems
  • Windows 10 Version 1803 for ARM64-based Systems
  • Windows 10 Version 1803 for x64-based Systems
  • Windows 10 Version 1809 for 32-bit Systems
  • Windows 10 Version 1809 for ARM64-based Systems
  • Windows 10 Version 1809 for x64-based Systems
  • Windows 10 Version 1903 for 32-bit Systems
  • Windows 10 Version 1903 for ARM64-based Systems
  • Windows 10 Version 1903 for x64-based Systems
  • Windows 10 Version 1909 for 32-bit Systems
  • Windows 10 Version 1909 for ARM64-based Systems
  • Windows 10 Version 1909 for x64-based Systems
  • Windows 7 for 32-bit Systems Service Pack 1
  • Windows 7 for x64-based Systems Service Pack 1
  • Windows 8.1 for 32-bit systems
  • Windows 8.1 for x64-based systems
  • Windows RT 8.1
  • Windows Server 2008 for 32-bit Systems Service Pack 2
  • Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 for Itanium-Based Systems Service Pack 2
  • Windows Server 2008 for x64-based Systems Service Pack 2
  • Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2012
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2012 R2 (Server Core installation)
  • Windows Server 2016
  • Windows Server 2016 (Server Core installation)
  • Windows Server 2019
  • Windows Server 2019 (Server Core installation)

3漏洞检测

3.1 人工检测

打开资源管理器,在菜单栏中点击“查看”,检查是否有开启“预览窗格”或“详细信息窗格”,如果有开启其中任意一个,则可能存在漏洞风险。

【漏洞通告】微软Type 1字体分析远程执行代码漏洞通告_安全防护

4漏洞防护

4.1 临时防护措施

目前微软暂未发布修复该漏洞的安全补丁,请相关用户持续关注官方动态:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200006

受影响的用户可选择下列官方提供的三类方法进行防护:

4.1.1 在Windows资源管理器中禁用预览窗格和详细信息窗格

在Windows资源管理器中禁用预览和详细信息窗格将阻止在Windows资源管理器中自动显示OTF字体。虽然可以防止在Windows资源管理器中查看恶意文件,但并不能阻止经过身份验证的本地用户运行特殊设计的程序来利用此漏洞。注:使用该方法后Windows资源管理器将不会再自动显示OTF 字体。

Windows 7**、Windows 8.1 和Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2禁用预览窗格:**

\1. 打开Windows资源管理器,单击组织,然后单击布局。

\2. 清除详细信息窗格和预览窗格的菜单选项。

【漏洞通告】微软Type 1字体分析远程执行代码漏洞通告_安全防护_02

\3. 单击整理,然后单击文件夹和搜索选项。

\4. 单击视图选项卡。

在高级设置下,选中“始终显示图标,从不显示缩略图框”。(如需撤销该方法,取消勾选即可恢复)

【漏洞通告】微软Type 1字体分析远程执行代码漏洞通告_安全防护_03

\5. 关闭所有 Windows 资源管理器使配置生效。

Windows 10 和Windows Server 2016、Windows Server 2019禁用预览窗格:

\1. 打开 Windows 资源管理器(在Windows 10中为文件资源管理器),单击视图选项卡。

\2. 清除详细信息窗格和预览窗格的菜单选项。

【漏洞通告】微软Type 1字体分析远程执行代码漏洞通告_安全防护_04

\3. 单击选项,然后单击更改文件夹和搜索选项。

\4. 单击视图选项卡。

在高级设置下,勾选始终显示图标,从不显示缩略图框。(如需撤销该方法,取消勾选即可恢复)

【漏洞通告】微软Type 1字体分析远程执行代码漏洞通告_漏洞修复_05

\5. 关闭所有 Windows 资源管理器使配置生效。

4.1.2 禁用WebClient服务

要禁用WebClient服务,请按照以下步骤操作:

\1. 单击开始,单击运行(或按键盘上的Windows 键和R),键入Services.msc,然后单击确定。

\2. 右键单击WebClient服务,然后选择属性。

【漏洞通告】微软Type 1字体分析远程执行代码漏洞通告_安全防护

\3. 将启动类型更改为禁用。如果服务正在运行,请单击停止。

\4. 单击确定,退出管理应用程序。

**注:**当禁用WebClient服务时,不会传输 Web 分布式创作和版本管理(WebDAV)请求,所有明确依赖于WebClient服务的任何服务将不会启动,并且会在系统日志中记录错误消息。例如,将无法从客户端计算机访问WebDAV共享。

4.1.3 重命名 ATMFD.DLL

一、32位操作系统:

\1. 在管理命令提示符处输入以下命令:

cd "%windir%\system32"takeown.exe /f atmfd.dllicacls.exe atmfd.dll /save atmfd.dll.aclicacls.exe atmfd.dll /grant Administrators:(F) rename atmfd.dll x-atmfd.dll

\2. 重启系统。

二、64位操作系统:

\1. 在管理命令提示符处输入以下命令:

cd "%windir%\system32"takeown.exe /f atmfd.dllicacls.exe atmfd.dll /save atmfd.dll.aclicacls.exe atmfd.dll /grant Administrators:(F) rename atmfd.dll x-atmfd.dllcd "%windir%\syswow64"takeown.exe /f atmfd.dllicacls.exe atmfd.dll /save atmfd.dll.aclicacls.exe atmfd.dll /grant Administrators:(F) rename atmfd.dll x-atmfd.dll

\2. 重启系统。

三、对于Windows 8.1 及更低版本操作系统还可通过以下操作禁用ATMFD(官方建议谨慎使用):

方法1:手动编辑注册表

\1. 以管理员的身份运行regedit.exe。

\2. 在“注册表编辑器”中,创建以下子项并将其 DWORD 值设置为 1:HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\DisableATMFD, DWORD = 1

【漏洞通告】微软Type 1字体分析远程执行代码漏洞通告_漏洞发现_07

\3. 关闭“注册表编辑器”并重启系统。

方法2:使用脚本修改注册表

\1. 创建一个包含以下文本并且名为ATMFD-disable.reg的文本文件:

Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]“DisableATMFD”=dword:00000001

\2. 运行regedit.exe。

\3. 在注册表编辑器中,单击“文件”菜单,然后单击“导入”。

\4. 选择步骤1中创建的ATMFD-disable.reg文件。(注意:如果文件未列于预期位置,请确保尚未自动对该文件给定.txt文件扩展名,或将对话框的文件扩展名参数更改为“所有文件”)。

\5. 单击“打开”,然后单击“确定”,关闭注册表编辑器。

**注:使用以上方法后依赖嵌入字体技术的应用程序将无法正确显示。禁用ATMFD.DLL可能导致某些使用OpenType字体的应用程序停止正常运行。Microsoft Windows 自身不会发布任何OpenType字体。但是,第三方应用程序可能会安装这些字体并且可能会受到此更改影响。**撤销该方法请参考微软官方通告中对应的系统进行操作。

转载自https://mp.weixin.qq.com/s/7n-4VHSMyulfVAc5MNa7Jg