Type1 字体解析远程代码执行漏洞(0day)风险通告

2020年03月24日 作者: 瀚思科技

漏洞概述

3月23日,微软发布ADV200006号通告,称其发现目前有在野攻击利用Adobe Type Manager Library中的2个0-day漏洞。这两个远程代码执行漏洞的原因主要是Windows Adobe Type Manager Library并没有正确处理特殊构造的多重母版字体——Adobe Type1 PostScript格式,漏洞评估严重,已停止服务的WIN7也受到漏洞影响,攻击者可以精心构造一个恶意的文档并诱使用户使用Windows Preview pane预览,从而利用该漏洞来远程执行代码。 目前微软正在准备漏洞相关的补丁,预计下个月的补丁日会发布,暂时只提供缓解方式。

风险等级

互联网暂未公布利用方法和POC,瀚思将持续关注。

影响版本

应对建议

对于 32 位系统:

1.在管理命令提示符处输入以下命令:

cd "%windir%\system32"

takeown.exe /f atmfd.dll

icacls.exe atmfd.dll /save atmfd.dll.acl

icacls.exe atmfd.dll /grant Administrators:(F)

rename atmfd.dll x-atmfd.dll

2.重启系统。

对于 64 位系统:

1.在管理命令提示符处输入以下命令:

cd "%windir%\system32"

takeown.exe /f atmfd.dll

icacls.exe atmfd.dll /save atmfd.dll.acl

icacls.exe atmfd.dll /grant Administrators:(F)

rename atmfd.dll x-atmfd.dll

cd "%windir%\syswow64"

takeown.exe /f atmfd.dll

icacls.exe atmfd.dll /save atmfd.dll.acl

icacls.exe atmfd.dll /grant Administrators:(F)

rename atmfd.dll x-atmfd.dll

2.重启系统。

在 Windows 资源管理器中禁用预览窗格和详细信息窗格

在 Windows 资源管理器中禁用预览和详细信息窗格将阻止在 Windows 资源管理器中自动显示 OTF 字体。虽然这可以防止在 Windows 资源管理器中查看恶意文件,但并不能阻止经过身份验证的本地用户运行特殊设计的程序来利用此漏洞。

要在 Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2 和 Windows 8.1 中禁用这些窗格,请执行以下步骤:

1.打开 Windows 资源管理器,单击组织,然后单击布局。

2.清除详细信息窗格和预览窗格的菜单选项。

3.单击整理,然后单击文件夹和搜索选项。

4.单击视图选项卡。

5.在高级设置下,选中始终显示图标,从不显示缩略图框。

6.关闭 Windows 资源管理器的所有打开的实例,以使更改生效。

对于 Windows Server 2016、Windows 10 和 Windows Server 2019,请执行以下步骤:

1.打开 Windows 资源管理器,单击视图选项卡。

2.清除详细信息窗格和预览窗格的菜单选项。

3.单击选项,然后单击更改文件夹和搜索选项。

4.单击视图选项卡。

5.在高级设置下,选中始终显示图标,从不显示缩略图框。

6.关闭 Windows 资源管理器的所有打开的实例,以使更改生效。

禁用 WebClient 服务

禁用 WebClient 服务可以通过 Web 分布式创作和版本管理 (WebDAV)客户端服务来阻止最可能的远程攻击媒介,从而帮助保护受影响的系统免受此漏洞的危害。在应用此变通办法后,成功利用此漏洞的远程攻击者仍有可能使系统执行位于目标用户计算机或局域网 (LAN) 上的程序,但是在打开来自 Internet 的任意程序之前,会提示用户给予确认。

要禁用 WebClient 服务,请按照以下步骤操作:

1.单击开始,单击运行(或按键盘上的Windows 键和R),键入 Services.msc,然后单击确定。

2.右键单击 WebClient 服务,然后选择属性。

3.将启动类型更改为禁用。如果服务正在运行,请单击停止。

4.单击确定,退出管理应用程序。

参考链接

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/adv200006