微软官方今天发布了编号为ADV200006的安全通告,其中包含两枚Adobe字体管理库相关的严重远程代码执行漏洞,其中一枚漏洞为奇安信代码安全实验室提交,公告中指出这两枚漏洞已遭在野利用。

鉴于漏洞危害很大,建议客户关注微软通告并采取缓解措施。

漏洞描述

微软官方今天发布了编号为ADV200006的安全通告,其中包含两枚Adobe字体管理库(Adobe Type Manager Library)相关的严重远程代码执行漏洞,其中一枚漏洞为奇安信代码安全实验室提交。

Adobe字体管理库(Adobe Type Manager Library)不正确地处理 Adobe Type 1 PostScript 字体格式时会引发严重的远程代码执行 (RCE) 漏洞。微软官方的安全通告指出这两枚漏洞已遭在野利用。

公告还指出,攻击者利用漏洞的方式有多种,如说服用户打开一个特殊构造的文本或在 Windows 预览窗格中查看该文本。另外,目前已存在一定范围的利用该漏洞的针对性网络攻击。微软目前已推出缓解措施和应变措施,并正在着手推出修复方案。

奇安信代码安全实验室的安全专家指出,该漏洞影响 Windows XP 至 Windows 10的所有系统版本,不过对不同系统版本产生的危害不一样,例如在Windows 7、Windows XP环境下可获得内核权限(危害巨大)、在Windows 10的环境下可获得沙箱内权限(危害小)。

鉴于漏洞危害很大,建议客户关注微软通告并等候补丁更新。

风险等级

奇安信 CERT风险评级为:高危

风险等级:蓝色(一般事件)

影响范围

官方描述:

Windows 10 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1709 for 32-bit Systems

Windows 10 Version 1709 for ARM64-based Systems

Windows 10 Version 1709 for x64-based Systems

Windows 10 Version 1803 for 32-bit Systems

Windows 10 Version 1803 for ARM64-based Systems

Windows 10 Version 1803 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows 10 Version 1903 for x64-based Systems

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows 10 Version 1909 for x64-based Systems

Windows 7 for 32-bit Systems Service Pack 1

Windows 7 for x64-based Systems Service Pack 1

Windows 8.1 for 32-bit systems

Windows 8.1 for x64-based systems

Windows RT 8.1

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for Itanium-Based Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2012

Windows Server 2012 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 R2 (Server Core installation)

Windows Server 2016

Windows Server 2016 (Server Core installation)

Windows Server 2019

Windows Server 2019 (Server Core installation)

Windows Server, version 1803 (Server Core Installation)

Windows Server, version 1903 (Server Core installation)

Windows Server, version 1909 (Server Core installation)

奇安信代码安全实验室的安全专家指出Windows XP亦受影响

处置建议

根据微软提供的以下临时缓解措施进行配置:

在Windows资源管理器中禁用预览窗格和详细信息窗格:

在Windows资源管理器中禁用“预览”和“详细信息”窗格将阻止在Windows资源管理器中自动显示OTF字体。虽然这可以防止在Windows资源管理器中查看恶意文件,但不能阻止经过身份验证的本地用户运行特制程序来利用此漏洞。要在Windows Server 2008,Windows 7,Windows Server 2008 R2,Windows Server 2012,Windows Server 2012 R2和Windows 8.1中禁用这些窗格,请执行以下步骤:

1.打开Windows资源管理器,单击“ 组织”,然后单击“ 布局”。

2.清除“ 详细信息”窗格和“ 预览”窗格的菜单选项。

3.单击“ 整理”,然后单击“ 文件夹和搜索选项”。

4.单击查看选项卡。

5.在“ 高级设置”下,选中“ 始终显示图标,从不显示缩略图”框。

6.关闭Windows资源管理器的所有打开的实例,以使更改生效。

对于Windows Server 2016,Windows 10和Windows Server 2019,请执行以下步骤:

1.打开Windows资源管理器,单击“ 查看”选项卡。

2.清除“ 详细信息”窗格和“ 预览”窗格的菜单选项。

3.单击选项,然后单击更改文件夹和搜索选项。

4.单击查看选项卡。

5.在“ 高级设置”下,选中“ 始终显示图标,从不显示缩略图”框。

6.关闭Windows资源管理器的所有打开的实例,以使更改生效。

缓解措施造成的影响:

Windows资源管理器不会自动显示OTF字体。

重命名ATMFD.DLL:

请注意:从Windows 10版本1709开始的Windows 10安装中不存在ATMFD.DLL。较新的版本没有此DLL。有关更多信息,请参见缓解部分。

对于32位系统:

1.管理员权限下使用命令提示符输入以下命令:

    cd "%windir%\system32"takeown.exe /f atmfd.dllicacls.exe atmfd.dll /save atmfd.dll.aclicacls.exe atmfd.dll /grant Administrators:(F) rename atmfd.dll x-atmfd.dll

    2.重新启动系统

    对于64位系统:

    1.管理员权限下使用命令提示符输入以下命令:

      cd "%windir%\system32"takeown.exe /f atmfd.dllicacls.exe atmfd.dll /save atmfd.dll.aclicacls.exe atmfd.dll /grant Administrators:(F) rename atmfd.dll x-atmfd.dllcd "%windir%\syswow64"takeown.exe /f atmfd.dllicacls.exe atmfd.dll /save atmfd.dll.aclicacls.exe atmfd.dll /grant Administrators:(F) rename atmfd.dll x-atmfd.dll

      2.重新启动系统

      Windows 8.1或更低版本操作系统的可选操作(禁用ATMFD):

      注意:不正确地使用注册表编辑器会导致严重的问题,可能需要您重新安装操作系统。Microsoft无法保证可以解决由于注册表编辑器使用不当而导致的问题。使用注册表编辑器需要您自担风险。有关如何编辑注册表的信息,请在注册表编辑器(Regedit.exe)中查看“更改键和值”帮助主题,或在Regedt32中查看“在注册表中添加和删除信息”和“编辑注册表数据”帮助主题。

      方法1(手动编辑系统注册表):

      1.以管理员身份运行regedit.exe。

      2.在注册表编辑器中,导航到以下子项(或创建它)并将其DWORD值设置为1:HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\DisableATMFD, DWORD = 1

      3.关闭注册表编辑器,然后重新启动系统。

      方法2(使用托管部署脚本):

      1.创建一个名为ATMFD-disable.reg的文本文件,其中包含以下文本:

        Windows Registry Editor Version5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows]"DisableATMFD"=dword:00000001

        2.运行regedit.exe。

        3.在注册表编辑器中,单击“ 文件”菜单,然后单击“ 导入”。

        4.浏览并选择您在第一步中创建的ATMFD-disable.reg文件。(请注意,如果未在您期望的位置列出您的文件,请确保是否使用自动为该文件指定.txt文件扩展名,或将对话框的文件扩展名参数更改为All Files)。

        5.单击“ 打开”,然后单击“ 确定”关闭注册表编辑器。

        缓解措施造成的影响:

        依赖嵌入式字体技术的应用程序将无法正确显示。禁用ATMFD.DLL可能会导致某些应用程序使用OpenType字体而无法正常运行。Microsoft Windows不会本地发布任何OpenType字体。但是,第三方应用程序可以安装它们,并且它们可能会受到此更改的影响。

        Windows 8.1或更低版本操作系统的可选操作(启用ATMFD):

        注意:不正确地使用注册表编辑器会导致严重的问题,可能需要您重新安装操作系统。Microsoft无法保证可以解决由于注册表编辑器使用不当而导致的问题。使用注册表编辑器需要您自担风险。有关如何编辑注册表的信息,请在注册表编辑器(Regedit.exe)中查看“更改键和值”帮助主题,或在Regedt32中查看“在注册表中添加和删除信息”和“编辑注册表数据”帮助主题。

        方法1(手动编辑系统注册表):

        1.以管理员身份运行regedit.exe。

        2.在注册表编辑器中,导航到以下子项并将其DWORD值设置为

          0:HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\DisableATMFD, DWORD = 0

          3.关闭注册表编辑器,然后重新启动系统。

          方法2(使用托管部署脚本):

          1.创建一个名为ATMFD-enable.reg的文本文件,其中包含以下文本:

            Windows Registry Editor Version5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]"DisableATMFD"=dword:00000000

            2.运行regedit.exe。

            3.在注册表编辑器中,单击“ 文件”菜单,然后单击“ 导入”。

            4.导航到并选择您在第一步中创建的ATMFD-enable.reg文件。(请注意,如果未在您期望的位置列出您的文件,请确保未自动为该文件指定.txt文件扩展名,或将对话框的文件扩展名参数更改为All Files)。

            5.单击“ 打开”,然后单击“ 确定”关闭注册表编辑器。

            参考资料

            [1] https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/adv200006

            时间线

            2020年3月24日,奇安信 CERT发布安全风险通告

            声明:本文来自奇安信 CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。