Microsoft geeft toe dat Windows OS twee nieuwe 0-daagse RCE-kwetsbaarheden bevat die in het wild worden uitgebuit, hier is een werkende oplossing

Microsoft Windows OS heeft twee beveiligingsproblemen die worden misbruikt door kwaadwillende codeschrijvers. De nieuw ontdekte beveiligingsfouten zijn geschikt voor Remote Code Execution of RCE, en ze bestaan ​​in de Adobe Type Manager Library. Door de beveiligingsbug kunnen exploitanten op afstand toegang krijgen tot de computers van het slachtoffer en deze beheren nadat ze zelfs de laatste updates hebben geïnstalleerd. Het is zorgwekkend om op te merken dat er nog geen patch beschikbaar is.

Microsoft heeft toegegeven dat er twee Windows zero-day-kwetsbaarheden zijn die schadelijke code kunnen uitvoeren op volledig bijgewerkte systemen. De kwetsbaarheden zijn gevonden in de Adobe Type Manager Library, die wordt gebruikt om het Adobe Type 1 PostScript-formaat in Windows weer te geven. Microsoft heeft beloofd dat het een patch ontwikkelt om het risico te verkleinen en de exploits te patchen. Het bedrijf zal de patches echter vrijgeven als onderdeel van de komende Patch Tuesday. Bezorgde Windows OS-gebruikers hebben echter een paar tijdelijke en eenvoudige oplossingen om hun systemen te beschermen tegen deze twee nieuwe RCE-kwetsbaarheden.

Microsoft waarschuwt voor 0-daagse kwetsbaarheden bij het uitvoeren van Windows-code met beperkt potentieel voor gerichte aanvallen:

De nieuw ontdekte RCE-kwetsbaarheden bestaan ​​in de Adobe Type Manager Library, een Windows DLL-bestand dat door een grote verscheidenheid aan apps wordt gebruikt om lettertypen die beschikbaar zijn bij Adobe Systems te beheren en weer te geven. Het beveiligingslek bestaat uit twee fouten bij het uitvoeren van code die kunnen worden veroorzaakt door de onjuiste behandeling van kwaadwillig vervaardigde hoofdlettertypen in de Adobe Type 1 Postscript-indeling. Om de computer van een slachtoffer met succes aan te vallen, hebben de aanvallers alleen het doelwit nodig om een ​​document te openen of zelfs een voorbeeld ervan te bekijken in het voorbeeldvenster van Windows. Onnodig toe te voegen, het document zal worden doorspekt met kwaadaardige code.

Microsoft heeft bevestigd dat computers draaien Windows 7 zijn het meest kwetsbaar voor de nieuw ontdekte beveiligingslekken. Het bedrijf merkt op dat de kwetsbaarheid voor het ontleden van externe code-executie wordt gebruikt in "beperkte gerichte aanvallen" op Windows 7-systemen. Wat betreft Windows 10-systemen is de omvang van de kwetsbaarheden vrij beperkt, aldus het advies:

"Er zijn meerdere manieren waarop een aanvaller misbruik kan maken van het beveiligingslek, zoals het overtuigen van een gebruiker om een ​​speciaal vervaardigd document te openen of het te bekijken in het Windows Preview-venster", aldus Microsoft. Hoewel er nog geen oplossing is voor Windows 10, Windows 8.1 en Windows 7, legt het bedrijf uit dat "voor systemen met ondersteunde versies van Windows 10 een succesvolle aanval alleen kan resulteren in code-uitvoering binnen een AppContainer sandbox-context met beperkte rechten en mogelijkheden.

https://twitter.com/BleepinComputer/status/1242520156296921089

Microsoft heeft niet veel details gegeven over de omvang van de impact van de nieuw ontdekte beveiligingsfouten. Het bedrijf heeft niet aangegeven of de exploits met succes kwaadaardige ladingen uitvoeren of het gewoon proberen.

Hoe te beschermen tegen nieuwe Windows 0-Day RCE-kwetsbaarheden in de Adobe Type Manager-bibliotheek?

Microsoft moet nog officieel een patch uitgeven ter bescherming tegen de nieuw ontdekte RCE-beveiligingslekken. De patches worden verwacht op Patch Tuesday, waarschijnlijk volgende week. Tot die tijd stelt Microsoft voor om een ​​of meer van de volgende tijdelijke oplossingen te gebruiken:

  • Het voorbeeldvenster en het detailvenster in Windows Verkenner uitschakelen
  • De WebClient-service uitschakelen
  • Hernoem ATMFD.DLL (op Windows 10-systemen met een bestand met die naam), of schakel het bestand uit vanuit het register

De eerste maatregel zorgt ervoor dat Windows Verkenner niet automatisch Open Type Fonts weergeeft. Deze maatregel zal overigens bepaalde soorten aanvallen voorkomen, maar het zal een lokale, geverifieerde gebruiker er niet van weerhouden een speciaal ontworpen programma uit te voeren om misbruik te maken van het beveiligingslek.

Als u de WebClient-service uitschakelt, wordt de vector geblokkeerd die aanvallers waarschijnlijk zouden gebruiken om externe exploits te plegen. Deze tijdelijke oplossing zorgt ervoor dat gebruikers om bevestiging worden gevraagd voordat willekeurige programma's van internet worden geopend. Desalniettemin is het voor aanvallers nog steeds mogelijk om programma's uit te voeren die zich op de computer of het lokale netwerk van de beoogde gebruiker bevinden.

De laatst voorgestelde oplossing is nogal lastig, omdat het weergaveproblemen veroorzaakt voor toepassingen die afhankelijk zijn van ingesloten lettertypen en ervoor kan zorgen dat sommige apps niet meer werken als ze OpenType-lettertypen gebruiken.

Zoals altijd worden Windows OS-gebruikers gewaarschuwd om op hun hoede te zijn voor verdachte verzoeken om niet-vertrouwde documenten te bekijken. Microsoft heeft een permanente oplossing beloofd, maar gebruikers dienen zich te onthouden van het openen of openen van documenten uit niet-geverifieerde of onbetrouwbare bronnen.

Facebook Twitter Google Plus Pinterest