溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
本篇文章為大家展示了如何進行Microsoft Windows Type 1字體處理遠程代碼執行漏洞ADV200006的通告,內容簡明扼要并且容易理解,絕對能使你眼前一亮,通過這篇文章的詳細介紹希望你能有所收獲。
| 編號 | QiAnXinTI-SV-2020-0009 |
|---|---|
| 關鍵字 | 字體 Adobe Type 1 PostScript ADV200006 |
| 發布日期 | 2020年3月24日 |
| 更新日期 | 2020年3月24日 |
| TLP | WHITE |
| 分析團隊 | 奇安信威脅情報中心 |
2020年3月24日,微軟官方發布了一個非例行的預警通告。通告描述有兩個漏洞存在于Windows Adobe Type Manager庫處理Adobe Type 1 PostScript字體模塊中,可能導致代碼執行,有意思的是2015年Hacking Team泄露的工具中其中一個漏洞也是出于該模塊。從通告中可知該漏洞已經被用于有限的在野攻擊中,攻擊者可以通過多種方式利用此漏洞:例如誘導用戶打開特制文檔或通過在Windows預覽窗格中查看來執行漏洞攻擊。由于微軟會在稍后四月的補丁日才對該漏洞進行修復,所以奇安信威脅情報中心發布該通告提醒用戶通過適當的緩解措施做好提前防范。
奇安信息威脅情報中心紅雨滴團隊已經確認漏洞的存在并保持關注,有更多細節和進展會隨時通報。
| 漏洞名稱 | Microsoft WindowsType 1字體遠程代碼執行漏洞 | ||||
|---|---|---|---|---|---|
| 威脅類型 | 代碼執行 | 威脅等級 | 嚴重 | 漏洞ID | ADV200006 |
| 利用場景 | 攻擊者可以通過構造包含惡意的字體文件,誘使用戶打開特制文檔或在Windows預覽窗格中查看它,可能導致任意代碼執行。 | ||||
| 受影響系統及應用版本 | |||||
| Windows 10 for 32-bit Systems Windows 10 for x64-based Systems Windows 10 Version 1607 for 32-bit Systems Windows 10 Version 1607 for x64-based Systems Windows 10 Version 1709 for 32-bit Systems Windows 10 Version 1709 for ARM64-based Systems Windows 10 Version 1709 for x64-based Systems Windows 10 Version 1803 for 32-bit Systems Windows 10 Version 1803 for ARM64-based Systems Windows 10 Version 1803 for x64-based Systems Windows 10 Version 1809 for 32-bit Systems Windows 10 Version 1809 for ARM64-based Systems Windows 10 Version 1809 for x64-based Systems Windows 10 Version 1903 for 32-bit Systems Windows 10 Version 1903 for ARM64-based Systems Windows 10 Version 1903 for x64-based Systems Windows 10 Version 1909 for 32-bit Systems Windows 10 Version 1909 for ARM64-based Systems Windows 10 Version 1909 for x64-based Systems Windows 7 for 32-bit Systems Service Pack 1 Windows 7 for x64-based Systems Service Pack 1 Windows 8.1 for 32-bit systems Windows 8.1 for x64-based systems Windows RT 8.1 Windows Server 2008 for 32-bit Systems Service Pack 2 Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation) Windows Server 2008 for Itanium-Based Systems Service Pack 2 Windows Server 2008 for x64-based Systems Service Pack 2 Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation) Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1 Windows Server 2008 R2 for x64-based Systems Service Pack 1 Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) Windows Server 2012 Windows Server 2012 (Server Core installation) Windows Server 2012 R2 Windows Server 2012 R2 (Server Core installation) Windows Server 2016 Windows Server 2016 (Server Core installation) Windows Server 2019 Windows Server 2019 (Server Core installation) | |||||
需要注意的是Win10相關的操作系統,尤其是1703之后的版本,由于相關的字體處理都移至用戶層的fontdrvhost.exe中,因此漏洞利用將只導致AppContainer沙盒的代碼執行和有限度的權限提升。
兩個漏洞存在于Adobe Type Manager庫處理Adobe Type 1 PostScript字體模塊中,可導致代碼執行,目前技術細節未知。
此漏洞主要影響Windows的字體處理,目前疑似被有限的針對性利用,考慮到相關設備的數量級,潛在威脅較大。
目前暫時沒有相關的補丁發布,微軟當前提供了多個相關的緩解措施,但是相關操作都會有一些不良后果,是否使用需要結合自己業務進行判斷。
1. 在Windows資源管理器中禁用預覽窗格和詳細信息窗格,可用于防止相關惡意OTF字體被Windows預覽窗口加載,但不能阻止經過身份驗證的本地用戶運行特制程序來利用此漏洞。
Windows Server 2008,Windows 7,Windows Server 2008 R2,Windows Server 2012,Windows Server 2012 R2和Windows 8.1通過如下操作禁用
Windows Server 2016,Windows 10和Windows Server 2019通過以下操作禁用
通過以下操作撤銷以上操作
Windows Server 2008,Windows 7,Windows Server 2008 R2,Windows Server 2012,Windows Server 2012 R2和Windows 8.1
Windows Server 2016,Windows 10和Windows Server 2019
2. 禁用WebClient服務,禁用WebClient服務可以阻止最可能的遠程攻擊媒介,應用此替代方法后,成功利用此漏洞的遠程攻擊者仍然有可能導致運行位于目標用戶計算機或局域網(LAN)上的程序,但打開任意程序之前,系統將提示用戶進行確認。
通過以下操作禁用WebClient服務
撤銷相關操作
3. 直接重命名對應的漏洞模塊ATMFD.DLL,WIN10 1709之后的版本就沒有該DLL了。
通過以下命令重名漏洞dll。
32位系統,管理員權限運行以下命令
重啟系統
64位系統,管理員權限運行以下命令
重啟系統
通過以下命令撤銷重命名操作。
32位系統,管理員權限運行以下命令
重啟系統
64位系統,管理員權限運行以下命令
重啟系統
4. Windows 8.1或更低版本操作系統的可選操作(禁用ATMFD)。
可通過設置注冊表實現對應的操作。
撤銷以上操作
上述內容就是如何進行Microsoft Windows Type 1字體處理遠程代碼執行漏洞ADV200006的通告,你們學到知識或技能了嗎?如果還想學到更多技能或者豐富自己的知識儲備,歡迎關注億速云行業資訊頻道。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
