Geüpdatet op 14 april
Microsoft heeft een waarschuwing uitgegeven betreffende twee nieuwe kwetsbaarheden in de Adobe Type Manager Library. Bovendien zijn er volgens hun informatie al aanvallers die deze kwetsbaarheden in gerichte aanvallen benutten. Op 14 april heeft Microsoft beveiligingsupdates uitgebracht die deze kwetsbaarheden oplossen.
Wat is Adobe Type Manager Library waarom is het kwetsbaar?
Er waren tijden dat u om gesloten Adobe-lettertypen in Windows te kunnen zien aanvullende software moest installeren: Adobe Type Manager. Dit was niet erg handig voor eindgebruikers, dus Adobe opende uiteindelijk de specificaties voor zijn formaten en Microsoft bouwde de ondersteuning voor deze lettertypen in hun besturingssystemen. Hiervoor wordt Windows Adobe Type Manager Library gebruikt.
Volgens Microsoft ligt het probleem in hoe de library de lettertypen van één specifiek formaat verwerkt: Adobe Type 1 PostScript-lettertypen. Een aanvaller kan een Type 1 PostScript-lettertype op zo’n manier samenstellen dat ze de mogelijkheid krijgen om willekeurige code op een Windows-apparaat uit te voeren. Er bestaan verschillende aanvalsvectoren om deze kwetsbaarheid te benutten: aanvallers kunnen het slachtoffer overtuigen om een schadelijk document te openen of om het simpelweg te bekijken via het “Preview-paneel” (dit refereert naar het systeempaneel, en niet de vergelijkbare functie in de mail client Microsoft Outlook).
Aanvallers kunnen de kwetsbaarheid ook benutten via een extensie naar de HTTP, Web Distributed Authoring and Versioning (WebDAV) genaamd, die gebruikers in staat stelt om samen aan een document te werken.
Microsoft raadt aan om de Webclient-dienst uit te schakelen, die u in staat stelt om deze functie te gebruiken, en benadrukt dat dit de meest waarschijnlijke aanvalsvector op afstand is.
Welke systemen zijn kwetsbaar?
De kwetsbaarheid is aanwezig in 40 verschillende versies van de besturingssystemen Windows 10, Windows 7, Windows 8.1, Windows Server 2008, Windows Server 2012, Windows Server 2016 en Windows Server 2019. Microsoft-veiligheidsadvies ADV200006 bevat een volledige lijst met de kwetsbare systemen.
Het bedrijf legt echter uit dat in de ondersteunde versie van Windows 10 een succesvolle aanval er alleen voor zorgt dat schadelijke code kan worden uitgevoerd in de context van de AppContainer sandbox, met beperkte privileges en mogelijkheden.
Update: Volgens Microsoft is het gebruik van deze kwetsbaarheid in Windows 10 onwaarschijnlijk. Ze hebben de ernst van het probleem zelfs aangepast van “kritiek” tot “belangrijk” en raden niet aan om work-arounds voor dit systeem te gebruiken. Daarnaast benadrukken ze dat de gerichte aanvoelen werden uitgevoerd op Windows 7-systemen.
Is er een patch?
Op 14 april heeft Microsoft beveiligingsupdates uitgebracht die deze kwetsbaarheden oplossen.
Wat te doen
Wij raden aan om een betrouwbaar beveiligingssysteem te gebruiken om e-mail te beschermen (aangezien dit de meest gebruikte methode is voor het versturen van schadelijke documenten) en we hebben ook een beschermende endpoint-oplossing die schadelijke activiteiten kan stoppen, inclusief exploits. Beide taken kunnen worden verricht door Kaspersky Endpoint Security for Business advanced. Het spreekt voor zich dat het beter is om sowieso geen documenten en e-mailbijlages te openen als u niet zeker weet waar ze vandaan komen.
Aangezien er momenteel nog geen patches zijn, raadt Microsoft aan om de volgende tijdelijke oplossingen te gebruiken:
- Schakel de preview- en detailpanelen uit.
- Schakel de Webclient-dienst uit (waardoor WebDAV wordt uitgeschakeld).
- Schakel de ATMFD.DLL library uit.
U kunt gedetailleerde instructies vinden om te zien hoe u deze drie stappen precies onderneemt in de veiligheidshandleiding van Microsoft. Het is de moeite waard om te vermelden dat het uitschakelen van de Webclient-dienst ervoor zorgt dat WebDAV-verzoeken niet worden verwerkt en dat applicaties die van WebDAV afhankelijk zijn niet correct werken. Hetzelfde geldt voor het uitschakelen van ATMFD.DLL: applicaties die hier gebruik van maken werken in dit geval niet meer correct.