Două vulnerabilități RCE Windows 0-Day în Biblioteca de tip Adobe Manager

Microsoft este conștientă de atacurile țintite limitate care ar putea influența vulnerabilitățile neatacate în Biblioteca de tip Adobe Manager și oferă următoarele instrucțiuni pentru a ajuta la reducerea riscurilor clienților până la eliberarea actualizării de securitate.

Biblioteca de tip Microsoft Windows Adobe Manager este afectată de două vulnerabilități de execuție a codului de la distanță, deoarece gestionează în mod necorespunzător un font multi-master special conceput (formatul Adobe Type 1 PostScript). Exploatarea de succes ar necesita un atacator de la distanță pentru a convinge un utilizator să deschidă un document special conceput care să conducă la corupția memoriei și să execute cod arbitrar pe sistem. Acest lucru poate duce la un compromis complet al sistemului vulnerabil.

Dacă un atacator ar exploata acest bug pe orice sistem de operare altul decât Windows 10, ar putea câștiga capacitatea de a executa cod arbitrar de la distanță. Pe Windows 10, acestea ar fi limitate la executarea codului în sandbox-ul AppContainer cu privilegii limitate.

NOTĂ: Aceste vulnerabilități de executare de la distanță necesită interacțiune cu utilizatorii. Panoul de previzualizare Outlook nu este un vector de atac.

Sisteme Microsoft afectate potențial:
•    Windows 7 32-bit / 64-bit Service Pack 1
•    Windows 8.1 32 biți / 64 biți
•    Windows RT 8.1
•    Windows 10 versiunea 1607 32 biți / 64 biți
•    Windows 10 versiunea 1709 32-bit / 64-bit / ARM64
•    Windows 10 versiunea 1803 32 biți / 64 biți / ARM64
•    Windows 10 versiunea 1809 32 biți / 64 biți / ARM64
•    Windows 10 versiunea 1903 32 biți / 64 biți / ARM64
•    Windows 10 versiunea 1909 32 biți / 64 biți / ARM64
•    Windows Server 2008 SP2 32-bit / Itanium / 64-bit
•    Windows Server 2008 R2 SP1 32-bit / Itanium / 64-bit
•    Windows Server 2012
•    Windows Server 2012 R2
•    Windows Server 2016
•    Windows Server 2019

În timp ce patch-urile nu sunt disponibile, Microsoft a furnizat soluții de rezolvare pentru securizarea sistemelor vulnerabile:
•    Dezactivarea panourilor Previzualizare și Detalii în Windows Explorer
•    Dezactivarea serviciului WebClient. Dezactivarea serviciului WebClient ajută la protejarea sistemelor afectate de încercările de exploatare a acestei vulnerabilități prin blocarea celui mai probabil vector de atac la distanță prin intermediul serviciului client WebDAV. Este în continuare posibil ca atacatorii de la distanță care exploatează cu succes această vulnerabilitate să determine sistemul să ruleze programe localizate pe computerul vizat sau LAN-ul, dar utilizatorii vor fi solicitați pentru confirmare.
•    Redenumiți ATMFD.DLL (nu este prezent în instalațiile Windows 10 începând cu Windows 10, versiunea 1709). Această bibliotecă nu este prezentă în instalațiile Windows 10 începând cu Windows 10, versiunea 1709. Versiunile mai noi nu au acest DLL

NOTĂ: Primele două soluții de securitate asigură mai puțină securitate împotriva vulnerabilității, deoarece atacul ar putea fi în continuare condus cu condiții permise. În primul caz, un utilizator local, autentificat, poate încă exploata această vulnerabilitate de a rula un program special conceput. În cel de-al doilea caz, este încă posibil pentru atacatorii de la distanță să ruleze programe localizate pe computerul sau LAN-ul vizat al utilizatorului vizat. Cu toate acestea, utilizatorii li se va solicita confirmarea înainte de a deschide programe arbitrare de pe Internet.

Orange Moldova CERT recomandă aplicarea corecțiilor Microsoft referitoare la vulnerabilitățile descrise. Patch-ul Microsoft va fi disponibil pentru Windows 7, Windows Server 2008 și Windows Server 2008 R2 cu licență ESU.