Vaso Windows napravo lahko okuzi tudi pisava
26.3.2020

Ranljivost Adobe Type Manager Library – Windows Zeroday, Remote Code Execution

V teh dneh smo izvedeli, da je možno izpeljati napad na računalnike z operacijskim sistemom Windows s pomočjo izvedbe škodljive kode preko pisav, ki so del običajnega Windows sistema. Gre za tako imenovano »Zero-day« ranljivost, za katero ni popravka in zato ni presenetljivo, da je bila metoda že uporabljena v posameznih ciljanih napadih. Na srečo večina modernih operacijskih sistemov ni resno ogroženih. V nadaljevanju podajamo razlago in predstavimo morebitna tveganja ter načine, kako ranljivost ustrezno zmanjšati.

Ranljivost je prisotna skoraj v vseh različicah operacijskega sistema Windows

V operacijskem sistemu Microsoft Windows, natančneje v knjižnici atmfd.dll (Adobe Type Manager Library), je bila odkrita varnostna pomanjkljivost. Ta v določenih primerih omogoči napadalcu oddaljen zagon zlonamerne programske opreme z najvišjimi dovoljenji za dostope.

Zloraba se izvede na način, da napadalec pošlje uporabniku posebej oblikovano sporočilo, ki vsebuje namenoma okvarjeno pisavo. Če uporabnik dokument odpre, se zlonamerna koda izvrši - če ima uporabnik vključeno opcijo avtomatskega pregleda dokumenta, je možno kodo izvršiti brez večje interakcije uporabnika. Možna je tudi zloraba ranljivosti preko deljenja in skupinskega popravljanja dokumentov s pomočjo razširitve WebDAV.

Ranljivost je prisotna v skoraj vseh različicah operacijskega sistema Windows, kritično ranljive pa so različice, ki so starejše od Windows 10 ali Windows Sever 2016. Novejše različice operacijskega sistema knjižnico atmfd.dll izvajajo v peskovniku AppContainer, ki učinkovito omeji škodljivost zagona neželjene kode, čeprav se le-ta lahko zažene.

Popravka še ni na voljo, kako preprečiti izrabo ranljivosti?

Uradni popravek trenutno še ni na voljo in bo najverjetneje izdan v naslednjem skupnem paketu popravkov (Patch Tuesday). Zaenkrat obstajajo zgolj priporočila za omejitev ranljivosti.

Lastnikom sistemov starejših od Windows 10 ali Windows Server 2016 priporočamo naslednje:

1) V orodju Windows File Explorer onemogočite podokno za predogled (ang. Preview Pane)

  • To deluje na vseh verzijah operacijskega sistema Windows
  • Žal ne prepreči zlorabe ranljivosti, če uporabnik odpre dokument, ki vsebuje škodljive pisave

2) Onemogočite izvajanje storitve WebClient

  • To deluje na vseh verzijah operacijskega sistema Windows
  • Žal ta rešitev ne prepreči zlorabe ranljivosti, če uporabnik odpre dokument, ki vsebuje škodljive pisave

3) Preimenujte datoteko ATMFD.DLL

  • Ta rešitev v celoti onemogoči zlorabo ranljivosti
  • Nekatere aplikacije (sicer zelo redko), ki se zanašajo na delovanje t.i. vgrajenih pisav, ne bodo normalno delovale

Vsekakor močno priporočamo, da uporabljate samo uradno podprte različice operacijskega sistema Windows. Dodatno vam za starejše verzije strežniškega operacijskega sistema Windows priporočamo izvajanje standardnih dobrih praks osnovne administratorske higiene - administratorji naj ne brskajo po internetu, ne odpirajo dokumentov ipd.

Prav tako svetujemo, da poskrbite za redne posodobitve vaših sistemov z najnovejšimi popravki ter preverite, ali uporabljate vse varnostne funkcionalnosti, ki so že privzeto na voljo v operacijskem sistemu Windows - Windows Defender Exploit Guard, Windows Defender Application Control in Windows Defender Credential Guard na primer močno zmanjšajo verjetnost za uspešno izvedbo celotnega napada.

Če imate težave z uvedbo priporočil ali bi želeli podrobneje preveriti varnostno tveganje, ki ga predstavljajo takšne ali podobne ranljivosti za vaše IT-okolje, se lahko posvetujete z našimi varnostnimi strokovnjaki iz NIL-ovega varnostno operativnega centra (SOC).

Avtor: Jan Češčut, Primož Ivančič