آسیب پذیری های 0-day در کتابخانه پردازش فونت در سیستم‌های عامل ویندوز


دو آسیب پذیری مذکور در تاریخ 23 مارچ 2020 توسط Microsoft انتشار پیدا کرده است، که در صورت سوءاستفاده موفقیت آمیز به نفوذگر راه دور این امکان را می دهد تا کنترل کامل نسبت به سیستم قربانی داشته باشد. هر دو آسیب پذیری درWindows Adobe Type Manager library قرار دارند. این برنامه که وظیفه font parsing را برعهده دارد، نه تنها زمانی که  یک برنامه شخص ثالث اجرا می شود، مقادیرآن را parse می نماید، بلکه حتی توسط Windows Explorer  برای نمایش محتوای یک فایل در “Preview Pane” یا “Details Pane” حتی بدون باز کردن آن توسط کاربر اجرا می شود. این آسیب پذیری زمانی رخ می دهد که  Windows Adobe Type Manager Library فونتی را که توسط نفوذگر دستکاری شده و با فرمت (Adobe Type 1 PostScript) وجود دارد را هندل نماید و قربانی را متقاعد نماید که این فایل را در سیستم عامل ویندوز خود باز نماید و یا توسط Windows Preview Pane آن را مشاهده کند.

در حال حاضرمشخص نیست که آیا نفوذگران می توانند با متقاعد کردن کاربران برای مشاهده یک صفحه وب خاص که فونت های OTF آن توسط نفوذگردستکاری شده است به سیستم قربانی دسترسی پیدا کنند، اما چندین راه دیگر وجود دارد که یک مهاجم می تواند از طریق  webاز این آسیب پذیری سوء استفاده نماید، از جمله سرویس های Web DAV.

نسخه های آسیب پذیر:

تمامی نسخه های سیستم عامل ویندوز

راه حل :

هنوز هیچ وصله امنیتی توسط مایکروسافت برای رفع این دو آسیب پذیری انتشار نیافته است، اما به گفته آن وصله های آسیب پذیری به عنوان بخشی از به روزرسانی های Tuesday Patch در تاریخ 14 آپریل برای تمامی کاربران ویندوز اعمال خواهد شد.

در همین حال به تمامی کاربران ویندوز توصیه می شود که :

  1. ویژگی های Preview Pane و Details Pane را در Windows Explorer غیرفعال نمایند.

نحوه غیر فعال سازی به شرح ذیل است :

  • Open Windows Explorer, click Organize and then click Layout.
  • Clear both the Details pane and Preview pane menu options.
  • Click Organize, and then click Folder and search options.
  • Click the View tab.
  • Under Advanced settings, check the Always show icons, never thumbnails box.
  • Close all open instances of Windows Explorer for the change to take effect.
  1. غیرفعال سازی سرویس WebClient

این عمل از حملات سایبری از طریق WebDAV جلوگیری می نماید.

نحوه غیر فعال سازی به شرح ذیل است :

  • Click Start, click Run (or press the Windows Key and R on the keyboard), type Services.msc and then click OK.
  • Right-click WebClient service and select Properties.
  • Change the Startup type to Disabled. If the service is running, click Stop.
  • Click OK and exit the management application.

نکته: غیرفعال سازی WebClient به معنی جلوگیری کامل از مورد سوءاستفاده قرار گرفتن نیست، بلکه نفوذگر محلی و یا LAN می تواند درصورت تایید کاربر قربانی، نرم افزار و کد مخرب را در سیستم آن اجرا کند، اما در این مورد قبل اجرا نیاز به تایید کاربر دارد که مایکروسافت توسط یک هشدار امنیتی آن را به کاربر اعلام می نماید.

  1. تغییر نام DLL

همچنین مایکروسافت به کاربران توصیه می نماید تا با تغییر نام فایل Adobe Type Manager Font Drive (ATMFD.dll) باعث غیرفعال شدن موقت فناوری embedded font شوند این عمل باعث می شود برخی از برنامه های شخص ثالث متوقف شوند.

برای تغییر نام، دستورات زیر را با سطح دسترسی administrative در خط فرمان وارد نمایید:

برای سیستم عامل های 32-bit:

cd “%windir%\system32”
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F)
rename atmfd.dll x-atmfd.dll

برای سیستم عامل های 64-bit:

cd “%windir%\system32”
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F)
rename atmfd.dll x-atmfd.dll
cd “%windir%\syswow64”
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F)
rename atmfd.dll x-atmfd.dll

و در انتها برای اعمال تغییرات سیستم خود را یک بار مجددا راه اندازی نمایید.

اخبار

0-daymicrosoft

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *