Уязвимости нулевого дня в Adobe Type Manager Library угрожают разным версиям Windows

Microsoft выпустила рекомендации по уязвимостям в библиотеке Adobe Type Manager Library, которые уже эксплуатируют злоумышленники.

Обновлено 14 апреля.

Компания Microsoft выпустила предупреждение о двух новых уязвимостях в библиотеке Adobe Type Manager Library. Причем, по ее сведениям, злоумышленники уже используют эти уязвимости для целевых атак. 14 апреля Microsoft выпустила обновления, которые закрывают эти уязвимости.

Что такое Adobe Type Manager Library и в чем там уязвимость

Когда-то для того, чтобы операционная система Windows могла отображать проприетарные шрифты Adobe, пользователям приходилось устанавливать отдельную программу Adobe Type Manager. Это было не очень удобно, поэтому со временем компания Adobe открыла спецификации своих форматов, а Microsoft встроила поддержку шрифтов в свои операционные системы. Эта поддержка осуществляется при помощи библиотеки Windows Adobe Type Manager Library.

По словам Microsoft, проблема как раз и заключается в том, как это библиотека обрабатывает шрифты одного конкретного формата – Adobe Type 1 PostScript. Злоумышленники могут создать вредоносный документ со специальным шрифтом таким образом, что это позволит им удаленно исполнять вредоносный код на компьютере жертвы. Существует несколько вариантов его использования — злоумышленники могут убедить жертву открыть вредоносный документ или взглянуть на него через «область просмотра» (Preview Pane) в «Проводнике», ту самую, которая показывает содержимое файла, когда вы его выбираете (имеется в виду именно системная область, а не аналогичная функция в почтовом клиенте Microsoft Outlook).

Отдельную опасность представляет эксплуатация уязвимости через надстройку над протоколом HTTP под названием Web Distributed Authoring and Versioning (WebDAV), которая позволяет пользователям совместно работать над документами. По крайней мере Microsoft среди прочих обходных путей предлагает отключить службу WebClient, которая позволяет использовать эту функцию, и подчеркивает, что это наиболее вероятный вектор атаки.

Какие системы уязвимы

Уязвимость обнаружена в 40 различных версиях операционных систем Windows 10, Windows 7, Windows 8.1, Windows Server 2008, Windows Server 2012, Windows Server 2016 и Windows Server 2019. Полный список уязвимых систем можно найти на сайте Microsoft.

Однако компания поясняет, что в поддерживаемых версиях Windows 10 успешная атака позволит исполнить вредоносный код только в контексте «песочницы» AppContainer с ограниченными привилегиями и возможностями.

Обновление от 25 марта: по словам Microsoft, для Windows 10 эта уязвимость менее страшна. Они даже изменили степень ее опасности с «критической» до «важной» и теперь не рекомендуют использовать обходные решения под этой системой. Также они подчеркивают, что целевые атаки с использованием данной уязвимости проводили на машины под управлением Windows-7.

Есть ли патч

14 апреля Microsoft выпустила обновления, которые закрывают эти уязвимости.

Что делать

Со своей стороны мы можем предложить, во-первых, использовать надежное решение для защиты почты (поскольку это наиболее распространенный метод доставки вредоносных документов), а также иметь на рабочих устройствах защитное решение, способное пресечь вредоносную активность. С обеими задачами справляется Kaspersky Endpoint Security для Бизнеса расширенный. Попутно напоминаем, что не стоит открывать документы, если вы не знаете, откуда они взялись или кто их прислал.

Пока патчей не было, Microsoft предлагала использовать следующие обходные пути:

  • Отключение «Области просмотра» и «Области сведений»
  • Отключение сервиса WebClient (что отключит WebDAV)
  • Отключение библиотеки ATMFD.DLL (через реестр или переименованием файла)

Подробные инструкции о том, как это сделать, можно найти на сайте Microsoft. Следует понимать, что отключение сервиса WebClient приведет к тому, что запросы WebDAV перестанут обрабатываться корректно, и все приложения, которые зависят от этого сервиса, также перестанут корректно работать. То же можно сказать и про отключение ATMFD.DLL  — приложения, которые используют эту библиотеку, также, скорее всего, будут испытывать проблемы.

Советы