Spoločnosť Microsoft pripúšťa operačný systém Windows obsahuje dve nové 0-denné chyby zabezpečenia RCE využívané vo voľnej prírode, toto je pracovné riešenie

Windows 10

Operačný systém Microsoft Windows obsahuje dve chyby zabezpečenia, ktoré sú zneužívané autormi škodlivého kódu. Novoobjavené chyby zabezpečenia sú schopné vzdialeného spustenia kódu alebo RCE a existujú v knižnici Adobe Type Manager. Chyba zabezpečenia môže umožniť vykorisťovateľom vzdialený prístup a kontrolu nad počítačmi obete po nainštalovaní aj najnovších aktualizácií. Je potrebné poznamenať, že zatiaľ nie je k dispozícii žiadna opravná aktualizácia.

Spoločnosť Microsoft pripustila, že existujú dve chyby zabezpečenia systému Windows zero-day, ktoré môžu spustiť škodlivý kód v plne aktualizovaných systémoch. Zraniteľnosti sa našli v knižnici Adobe Type Manager Library, ktorá sa používa na zobrazenie formátu Adobe Type 1 PostScript v systéme Windows. Spoločnosť Microsoft sľúbila, že vyvíja opravu na zníženie rizika a odstránenie zneužitia. Spoločnosť však patche vydá v rámci nadchádzajúceho Patch Tuesday. Zainteresovaní používatelia operačného systému Windows však majú niekoľko dočasných a jednoduché riešenia chrániť svoje systémy pred týmito dvoma novými zraniteľnosťami RCE.

Spoločnosť Microsoft varuje pred 0-dennými chybami zabezpečenia pri vykonávaní kódu Windows s obmedzeným potenciálom cielených útokov:

Novoobjavený Zraniteľnosti RCE sa nachádzajú v knižnici Adobe Type Manager Library, súbore DLL systému Windows, ktorý na správu a vykresľovanie typov písma dostupných v spoločnosti Adobe Systems používa široká škála aplikácií. Zraniteľnosť pozostáva z dvoch chýb v spúšťaní kódu, ktoré môžu byť vyvolané nesprávnym zaobchádzaním so škodlivými kódmi, ktoré sú vytvorené vo fonte Adobe Type 1 Postscript. Aby útočníci mohli úspešne zaútočiť na počítač obete, stačí, aby cieľ otvoril dokument alebo dokonca zobrazil jeho ukážku na table ukážky systému Windows. Nie je potrebné dodávať, že dokument bude vybavený škodlivým kódom.

⚠️ UPOZORNENIE!

Všetky verzie # Microsoft Operačné systémy Windows (7, 8.1, 10, Server 2008, 2012, 2016, 2019) obsahujú 2 nové chyby zabezpečenia knižnice RCE, ktoré analyzujú písma, a to sú:

—CRITICKÉ
—NEDORUČENÉ
—Pod aktívnymi útokmi NULA-DEN

Detaily ➤ https://t.co/PXfkKFY250 #kyber ochrana pic.twitter.com/USFNpCcQ5t

- The Hacker News (@TheHackersNews) 23. marca 2020

Microsoft potvrdil, že počítače bežia Windows 7 sú najzraniteľnejšie voči novoobjaveným chybám zabezpečenia. Spoločnosť poznamenáva, že zraniteľnosť pri vzdialenom vykonávaní kódu pri analýze písma sa používa pri „obmedzených cielených útokoch“ na systémy Windows 7. Pokiaľ ide o systémy Windows 10, rozsah zraniteľností je dosť obmedzený, naznačil poradný :

„Existuje niekoľko spôsobov, ako by mohol útočník túto zraniteľnosť zneužiť, napríklad presvedčiť používateľa, aby otvoril špeciálne vytvorený dokument, alebo si ho prezerať na table Windows Preview,“ poznamenal Microsoft. Aj keď zatiaľ pre Windows 10, Windows 8.1 a Windows 7 neexistuje oprava, spoločnosť vysvetľuje, že „pre systémy s podporovanými verziami Windows 10 môže úspešný útok vyústiť iba do vykonania kódu v kontexte karantény AppContainer s obmedzenými oprávneniami a schopnosťami.

https://twitter.com/BleepinComputer/status/1242520156296921089

Spoločnosť Microsoft neposkytla veľa podrobností o rozsahu dopadu novoobjavených bezpečnostných chýb. Spoločnosť neuviedla, či exploity úspešne vykonávajú škodlivé užitočné zaťaženie alebo sa o to jednoducho pokúsia.

Ako sa chrániť proti novým zraniteľnostiam RCE v systéme Windows 0 dní v knižnici Adobe Type Manager?

Spoločnosť Microsoft ešte oficiálne nevydá opravu na ochranu pred novoobjavenými chybami zabezpečenia RCE. Očakáva sa, že opravy dorazia v Patch utorok, najpravdepodobnejšie budúci týždeň. Do tej doby spoločnosť Microsoft navrhuje použiť jedno alebo viac z nasledujúcich riešení:

• Zakázanie panela ukážky a panela podrobností v programe Windows Explorer
• Zakazuje sa služba Webový klient
• Premenujte ATMFD.DLL (v systémoch Windows 10, ktoré majú súbor s týmto názvom), alebo prípadne zakážte súbor v registri

Prvé opatrenie zastaví program Windows Explorer v automatickom zobrazovaní typov písma Open Type. Toto opatrenie mimochodom zabráni niektorým typom útokov, nezabráni však miestnemu autentifikovanému používateľovi spustiť špeciálne vytvorený program na zneužitie tejto chyby.

Útočníci využívajú nevyriešené chyby Windows zero day, uviedla spoločnosť Microsoft v pondelňajšom bezpečnostnom poradenstve. Spoločnosť uviedla, že „obmedzené cielené útoky“ by mohli využiť dve neopravené zraniteľné miesta vzdialeného výkonného kódu (RCE) v systéme Windows ... https://t.co/JHjAgO4sSi cez @InfoSecHotSpot pic.twitter.com/gAhLt46CGT

- Sean Harris (@InfoSecHotSpot) 24. marca 2020

Zakázanie služby WebClient blokuje vektor, ktorý by útočníci s najväčšou pravdepodobnosťou použili na zneužitie na diaľku. Toto riešenie spôsobí, že pred otvorením ľubovoľných programov z Internetu sa zobrazí výzva na potvrdenie používateľom. Napriek tomu je stále možné, aby útočníci spúšťali programy umiestnené v počítači alebo v lokálnej sieti cieľového používateľa.

Posledné navrhované riešenie je dosť problematické, pretože spôsobí problémy so zobrazením aplikáciám, ktoré sa spoliehajú na vložené písma, a môže spôsobiť, že niektoré aplikácie prestanú fungovať, ak používajú písma OpenType.

Boli objavené chyby RCE ovplyvňujúce Windows, pričom spoločnosť Microsoft hodnotila ich závažnosť ako kritickú. https://t.co/oA9cdxJMTW pic.twitter.com/TZP6nESJCN

- Neil Mitchell-Hunter (@polo_nmh) 24. marca 2020

Upozorňujeme používateľov systému Windows OS, ako vždy, na pozore pred podozrivými požiadavkami na zobrazenie nedôveryhodných dokumentov. Spoločnosť Microsoft prisľúbila trvalú opravu, avšak používatelia by sa mali zdržať prístupu alebo otvárania dokumentov z neoverených alebo nedôveryhodných zdrojov.