Windows字体解析高危漏洞风险提示
近日,微软官方更新发布了PostScript字体(Type 1)在解析时存在远程代码执行漏洞的安全公告,公告编号:ADV200006,相关链接参考:https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/adv200006。
根据公告,微软已经获悉利用这一0day漏洞的有针对性攻击(有高价值的目标),基于漏洞的严重性,此次是例外发布、非月度安全更新,漏洞存在于系统自带PostScript字体(Type 1)解析时存在的内存破坏漏洞利用从而导致远程代码执行,恶意攻击者可通过多种方式利用此漏洞,包括诱使用户打开含有攻击代码的文档或在Windows预览窗格中查看缩略图等,成功利用此漏洞可以获取目标用户当前权限或系统权限,建议尽快安装安全更新补丁或采取临时缓解措施加固系统。
PostScript字体(Type 1)解析漏洞影响以下系统:
Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1709 for 32-bit Systems
Windows 10 Version 1709 for ARM64-based Systems
Windows 10 Version 1709 for x64-based Systems
Windows 10 Version 1803 for 32-bit Systems
Windows 10 Version 1803 for ARM64-based Systems
Windows 10 Version 1803 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems Service Pack 1
Windows 8.1 for 32-bit systems
Windows 8.1 for x64-based systems
Windows RT 8.1
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for Itanium-Based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
根据分析,Windows系统自带的Windows Adobe Type Manager库在解析PostScript字体(Type 1)时存在内存破坏漏洞,恶意攻击者可通过多种方式利用此漏洞,包括诱使用户打开含有攻击代码的文档或在Windows预览窗格中查看缩略图等方式,在一些攻击终端用户场景中可以无感知利用,建议尽快安装安全更新补丁或采取临时缓解措施加固系统。
高危:微软已经获悉利用这一0day漏洞的有针对性攻击(有高价值的目标),目前漏洞细节和利用代码暂未公开,但可以通过补丁对比方式定位漏洞触发点并开发漏洞利用代码,建议及时测试安全更新补丁并应用安装,或采取临时缓解措施加固系统。
临时缓解措施(不方便打补丁的情况下考虑的有限措施):
可以通过在Windows资源管理器中禁用预览和详细信息窗格来阻止在Windows资源管理器中自动显示OTF字体的方式缓解,虽然这可以防止在Windows资源管理器中查看恶意文件,但并不能阻止经过身份验证的本地用户运行特殊设计的程序来利用此漏洞。
Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2和Windows 8.1系统中执行:
资源管理器->组织->布局->细节窗格和预览窗格(取消打勾)
文件夹选项->高级设置->始终显示图标,从不显示缩略图(勾选)
Windows Server 2016、Windows 10和Windows Server 2019系统中执行:
资源管理器->组织->布局->详细信息窗格和预览窗格(取消打勾)
文件夹选项->高级设置->始终显示图标,从不显示缩略图(勾选)
2.禁用WebClient服务
可以通过禁用WebClient服务阻止通过Web分布式创作和版本管理(WebDAV)客户端服务触发的远程攻击媒介,从而帮助保护受影响的系统免受此漏洞的危害。不过,成功利用此漏洞的远程攻击者仍有可能使系统执行位于目标用户计算机或局域网(LAN)上的程序,但是在打开来自Internet区域的任意程序之前,会提示用户给予确认。
运行->services.msc->WebClient(禁用)
重命名文件ATMFD.DLL文件
可以通过重命名ATMFD.DLL文件阻止字体解析调用,32位系统中该文件在"%windir%\system32"目录下,64位系统中该文件在"%windir%\system32"和"%windir%\syswow64"目录下。
32位系统在管理员身份运行的命令提示符下执行:
cd "%windir%\system32"
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F)
rename atmfd.dll x-atmfd.dll
成功完成后,文件将被名命成x-atmfd.dll,为使更改生效,需要重启系统。
64位系统在管理员身份运行的命令提示符下执行:
cd "%windir%\system32"
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F)
rename atmfd.dll x-atmfd.dll
cd "%windir%\syswow64"
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F)
rename atmfd.dll x-atmfd.dll
成功完成后,文件将被名命成x-atmfd.dll,为使更改生效,需要重启系统。
要恢复所作临时更改和版本支持说明可以参考微软官方文档:
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/adv200006