Napadači eksploatišu dve zero-day ranjivosti, pogođene sve Windows verzije!

Otkrivene su dve zero-day ranjivosti koje pogađaju sve Microsoft Windows verzije. U pitanju su RCE ranjivosti u Adobe Type Manager Library koji obrađuje fontove. Radi se o kritičnim zero-day ranjivostima za koje još uvek ne postoji patch, a uspešno eksploatisanje daje napadačima potpunu kontrolu nad računarom žrtve. Za sada su primećeni ciljani napadi manjeg obima.

Ranjivosti pogađaju praktično sve Windows OS i Windows Server verzije:

  • Windows 10

  • Windows 8.1

  • Windows 7

  • Windows RT 8.1

  • Windows Server 2008

  • Windows Server 2008 R2

  • Windows Server 2012

  • Windows Server 2012 R2

  • Windows 2016

  • Windows Server 2019

  • Windows Server, verzija 1803

  • Windows Server, verzija 1903

  • Windows Server, verzija 1909

Mitigacija i workaround

Enhanced Security Configuration, koji je automatski uključen u Windows Serveru, ne umanjuje rizik od napada. Microsoft je najavio patch tek za sledeći Patch Tuesday 14. aprila. U međuvremenu, Windows korisnicima se preporučuje da primene sledeći workaround kako bi umanjili rizik od napada:

1. Onemogućite Preview/Details pane u Windows Exploreru

Ovo će sprečiti pregled malicioznih fajlova u Exploreru, ali će legitimni third-party softver i dalje moći da učita ranjivu biblioteku za obradu fontova.

2. Onemogućite WebClient servis

Nakon primene ovog workarounda, remote napadači će i dalje moći da eksploatišu ranjivost i pokreću programe na računaru žrtve ili LAN mreži, ali će korisnicima biti prikazan prozor za potvrdu pre otvaranja programa sa interneta.

3. Preimenujte ili onemogućite ATMFD.DLL

Zbog ovoga će možda neke third-party aplikacije prestati da rade. Za ovaj workaround, unesite sledeće komande na admin command promptu:

Za 32-bit sisteme:

cd "%windir%\system32"

takeown.exe /f atmfd.dll

icacls.exe atmfd.dll /save atmfd.dll.acl

icacls.exe atmfd.dll /grant Administrators:(F)

rename atmfd.dll x-atmfd.dll

Za 64-bit sisteme:

cd "%windir%\system32"

takeown.exe /f atmfd.dll

icacls.exe atmfd.dll /save atmfd.dll.acl

icacls.exe atmfd.dll /grant Administrators:(F)

rename atmfd.dll x-atmfd.dll

cd "%windir%\syswow64"

takeown.exe /f atmfd.dll

icacls.exe atmfd.dll /save atmfd.dll.acl

icacls.exe atmfd.dll /grant Administrators:(F)

rename atmfd.dll x-atmfd.dll