MICROSOFT WINDOWS TYPE 1 LETTERTYPE PARSING REMOTE CODE EXECUTION KWETSBAARHEID
Bronnen
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/adv200006
https://www.zdnet.com/article/microsoft-warns-of-windows-zero-day-exploited-in-the-wild/
https://www.helpnetsecurity.com/2020/03/23/windows-zero-days/
Risico’s
Een aanvaller zou de kwetsbaarheid op meerdere manieren kunnen benutten, onder andere:
- Aanvallers toestaan om code uit te voeren op het systeem van de gebruiker.
- Acties uitvoeren als vertrouwde gebruiker.
- Het bekijken van het Windows Preview-venster.
Beschrijving
Er zijn 2 Remote Code Execution kwetsbaarheden aanwezig in de Adobe Type Manager Library (atmfd.dll), deze library wordt door Microsoft gebruikt om PostScript Type 1 lettertypen weer te geven en is onderdeel van de standaard installatie van Windows besturingssystemen.
Een patch is momenteel niet beschikbaar.
Microsoft heeft echter wel workarounds uitgebracht om de bedreiging te beperken totdat er patches beschikbaar zijn.
Een aantal van de mitigerende maatregelen zijn:
- Uitschakelen van het Preview Pane en Detail Pane in Windows Verkenner.
- De WebClient service uitschakelen.
- Hernoemen van het betreffende "atmfd.dll" bestand.
Voor een overzicht van de mitigerende maatregelen en de impact voor elke Windows OS-versie, kunt u het officiële advies van Windows lezen dat hier te vinden is.
Aanbevolen acties
Microsoft heeft een advies uitgebracht voor deze kwetsbaarheid.
CERT.be raadt aan om de mitigaties en de patch zo snel mogelijk toe te passen als deze eenmaal zijn uitgebracht (volgende patch dinsdag - 31/03/2020).