www.belgium.be Logo of the federal government

MICROSOFT WINDOWS TYPE 1 LETTERTYPE PARSING REMOTE CODE EXECUTION KWETSBAARHEID

Referentie: 
Advisory #2020-008
Versie: 
1.0
Geïmpacteerde software: 
Microsoft Windows - Adobe Type Manager Library
Type: 
Remote Code Execution (RCE), Information Disclosure

Bronnen

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/adv200006

https://www.zdnet.com/article/microsoft-warns-of-windows-zero-day-exploited-in-the-wild/

https://www.helpnetsecurity.com/2020/03/23/windows-zero-days/

Risico’s

Een aanvaller zou de kwetsbaarheid op meerdere manieren kunnen benutten, onder andere:

- Aanvallers toestaan om code uit te voeren op het systeem van de gebruiker.

- Acties uitvoeren als vertrouwde gebruiker.

- Het bekijken van het Windows Preview-venster.

Beschrijving

Er zijn 2 Remote Code Execution kwetsbaarheden aanwezig in de Adobe Type Manager Library (atmfd.dll), deze library wordt door Microsoft gebruikt om PostScript Type 1 lettertypen weer te geven en is onderdeel van de standaard installatie van Windows besturingssystemen.

Een patch is momenteel niet beschikbaar.

Microsoft heeft echter wel workarounds uitgebracht om de bedreiging te beperken totdat er patches beschikbaar zijn.

Een aantal van de mitigerende maatregelen zijn:

 - Uitschakelen van het Preview Pane en Detail Pane in Windows Verkenner.

 - De WebClient service uitschakelen.

 - Hernoemen van het betreffende "atmfd.dll" bestand.

Voor een overzicht van de mitigerende maatregelen en de impact voor elke Windows OS-versie, kunt u het officiële advies van Windows lezen dat hier te vinden is.

Aanbevolen acties

Microsoft heeft een advies uitgebracht voor deze kwetsbaarheid.

CERT.be raadt aan om de mitigaties en de patch zo snel mogelijk toe te passen als deze eenmaal zijn uitgebracht (volgende patch dinsdag - 31/03/2020).