- Lid geworden
- 12 apr 2013
- Berichten
- 25.779
- Waarderingsscore
- 1.403
Microsoft heeft vanavond een waarschuwing afgegeven voor twee kwetsbaarheden in
Windows 7, Windows 8.1, Windows 10 en verschillende versies van Windows Server
die op het moment actief worden aangevallen en waarvoor nog geen beveiligingsupdate beschikbaar is.
De kwetsbaarheden bevinden zich in de manier waarop Windows een bepaald fontformaat verwerkt.
Specifiek zit het probleem in de Adobe Type Manager (ATM) library, een geïntegreerde PostScript
font library die sinds Vista in alle versies van Windows aanwezig is. Er zijn verschillende manieren
waarop een aanvaller misbruik van de zerodaylekken kan maken, zoals het slachtoffer een speciaal
geprepareerd document laten openen of wanneer dit document in het Windows-voorbeeldvenster
(preview pane) wordt bekeken.
In het geval van Windows 10 is de impact van een aanval volgens Microsoft beperkt, omdat de aanvaller
dan alleen code met beperkte rechten en mogelijkheden binnen de context van de AppContainer-sandbox
kan uitvoeren. Bij andere kwetsbare Windowsversies is het echter mogelijk om in het ergste geval volledige
controle over het systeem te krijgen.
Wanneer Microsoft precies met een patch komt is nog onbekend, maar de softwaregigant lijkt te
hinten naar de patchdinsdag van april. In de aankondiging van de zerodaylekken wordt namelijk
gesteld dat beveiligingsupdates normaal op de tweede dinsdag van elke maand verschijnen,
zodat organisaties hier rekening mee kunnen houden.
Tijdelijke oplossing
Er zijn echter tijdelijke maatregelen die gebruikers en organisaties kunnen nemen om misbruik te voorkomen.
Als eerste wordt aangeraden om het Windows-voorbeeldvenster en detailvenster (details pane) uit te schakelen.
Dit voorkomt de automatische weergave van OTF-fonts in de Windowsverkenner. Een andere optie is het
uitschakelen van de WebClient-service. Dit moet aanvallen via de Web Distributed Authoring and
Versioning (WebDAV) client-service voorkomen. Een derde optie is het hernoemen van het bestand
ATMFD.DLL of het uitschakelen van dit bestand. Dit kan er echter voor zorgen dat bepaalde
applicaties niet goed meer werken bij het gebruik van OpenType-fonts.
In het geval van Windows 7 ontvangen alleen gebruikers met een onderhoudscontract
de aanstaande beveiligingsupdate. Verdere details over de aanvallen, behalve dat ze "
beperkt en gericht" zijn, heeft Microsoft niet gegeven. De term "beperkt en gericht" wordt vaak gebruikt
voor aanvallen die door staten zijn uitgevoerd.
Bron Security.nl
Windows 7, Windows 8.1, Windows 10 en verschillende versies van Windows Server
die op het moment actief worden aangevallen en waarvoor nog geen beveiligingsupdate beschikbaar is.
De kwetsbaarheden bevinden zich in de manier waarop Windows een bepaald fontformaat verwerkt.
Specifiek zit het probleem in de Adobe Type Manager (ATM) library, een geïntegreerde PostScript
font library die sinds Vista in alle versies van Windows aanwezig is. Er zijn verschillende manieren
waarop een aanvaller misbruik van de zerodaylekken kan maken, zoals het slachtoffer een speciaal
geprepareerd document laten openen of wanneer dit document in het Windows-voorbeeldvenster
(preview pane) wordt bekeken.
In het geval van Windows 10 is de impact van een aanval volgens Microsoft beperkt, omdat de aanvaller
dan alleen code met beperkte rechten en mogelijkheden binnen de context van de AppContainer-sandbox
kan uitvoeren. Bij andere kwetsbare Windowsversies is het echter mogelijk om in het ergste geval volledige
controle over het systeem te krijgen.
Wanneer Microsoft precies met een patch komt is nog onbekend, maar de softwaregigant lijkt te
hinten naar de patchdinsdag van april. In de aankondiging van de zerodaylekken wordt namelijk
gesteld dat beveiligingsupdates normaal op de tweede dinsdag van elke maand verschijnen,
zodat organisaties hier rekening mee kunnen houden.
Tijdelijke oplossing
Er zijn echter tijdelijke maatregelen die gebruikers en organisaties kunnen nemen om misbruik te voorkomen.
Als eerste wordt aangeraden om het Windows-voorbeeldvenster en detailvenster (details pane) uit te schakelen.
Dit voorkomt de automatische weergave van OTF-fonts in de Windowsverkenner. Een andere optie is het
uitschakelen van de WebClient-service. Dit moet aanvallen via de Web Distributed Authoring and
Versioning (WebDAV) client-service voorkomen. Een derde optie is het hernoemen van het bestand
ATMFD.DLL of het uitschakelen van dit bestand. Dit kan er echter voor zorgen dat bepaalde
applicaties niet goed meer werken bij het gebruik van OpenType-fonts.
In het geval van Windows 7 ontvangen alleen gebruikers met een onderhoudscontract
de aanstaande beveiligingsupdate. Verdere details over de aanvallen, behalve dat ze "
beperkt en gericht" zijn, heeft Microsoft niet gegeven. De term "beperkt en gericht" wordt vaak gebruikt
voor aanvallen die door staten zijn uitgevoerd.
Bron Security.nl
