Filtriraj vire

Blog

Vašo Windows napravo lahko okuži tudi pisava

Ranljivost Adobe Type Manager Library – Windows Zeroday, Remote Code Execution V teh dneh smo izvedeli, da je možno izpeljati napad na računalnike z operacijskim sistemom Windows s pomočjo izvedbe škodljive kode preko pisav, ki so del običajnega Windows sistema. Gre za tako imenovano »Zero-day« ranljivost, za katero ni popravka in zato ni presenetljivo, da je […]

Jan Češčut

Svetovalec za kibernetsko varnost

Primož Ivančič

Analitik kibernetski varnosti

Vašo Windows napravo lahko okuži tudi pisava – featured image

Ranljivost Adobe Type Manager Library – Windows Zeroday, Remote Code Execution

V teh dneh smo izvedeli, da je možno izpeljati napad na računalnike z operacijskim sistemom Windows s pomočjo izvedbe škodljive kode preko pisav, ki so del običajnega Windows sistema. Gre za tako imenovano »Zero-day« ranljivost, za katero ni popravka in zato ni presenetljivo, da je bila metoda že uporabljena v posameznih ciljanih napadih. Na srečo večina modernih operacijskih sistemov ni resno ogroženih. V nadaljevanju podajamo razlago in predstavimo morebitna tveganja ter načine, kako ranljivost ustrezno zmanjšati.

Ranljivost je prisotna skoraj v vseh različicah operacijskega sistema Windows

V operacijskem sistemu Microsoft Windows, natančneje v knjižnici atmfd.dll (Adobe Type Manager Library), je bila odkrita varnostna pomanjkljivost. Ta v določenih primerih omogoči napadalcu oddaljen zagon zlonamerne programske opreme z najvišjimi dovoljenji za dostope.

Zloraba se izvede na način, da napadalec pošlje uporabniku posebej oblikovano sporočilo, ki vsebuje namenoma okvarjeno pisavo. Če uporabnik dokument odpre, se zlonamerna koda izvrši – če ima uporabnik vključeno opcijo avtomatskega pregleda dokumenta, je možno kodo izvršiti brez večje interakcije uporabnika. Možna je tudi zloraba ranljivosti preko deljenja in skupinskega popravljanja dokumentov s pomočjo razširitve WebDAV.

Ranljivost je prisotna v skoraj vseh različicah operacijskega sistema Windows, kritično ranljive pa so različice, ki so starejše od Windows 10 ali Windows Sever 2016. Novejše različice operacijskega sistema knjižnico atmfd.dll izvajajo v peskovniku AppContainer, ki učinkovito omeji škodljivost zagona neželjene kode, čeprav se le-ta lahko zažene.

Popravka še ni na voljo, kako preprečiti izrabo ranljivosti?

Uradni popravek trenutno še ni na voljo in bo najverjetneje izdan v naslednjem skupnem paketu popravkov (Patch Tuesday). Zaenkrat obstajajo zgolj priporočila za omejitev ranljivosti.

Lastnikom sistemov starejših od Windows 10 ali Windows Server 2016 priporočamo naslednje:

1) V orodju Windows File Explorer onemogočite podokno za predogled (ang. Preview Pane)

  • To deluje na vseh verzijah operacijskega sistema Windows
  • Žal ne prepreči zlorabe ranljivosti, če uporabnik odpre dokument, ki vsebuje škodljive pisave

2) Onemogočite izvajanje storitve WebClient

  • To deluje na vseh verzijah operacijskega sistema Windows
  • Žal ta rešitev ne prepreči zlorabe ranljivosti, če uporabnik odpre dokument, ki vsebuje škodljive pisave

3) Preimenujte datoteko ATMFD.DLL

  • Ta rešitev v celoti onemogoči zlorabo ranljivosti
  • Nekatere aplikacije (sicer zelo redko), ki se zanašajo na delovanje t.i. vgrajenih pisav, ne bodo normalno delovale

Vsekakor močno priporočamo, da uporabljate samo uradno podprte različice operacijskega sistema Windows. Dodatno vam za starejše verzije strežniškega operacijskega sistema Windows priporočamo izvajanje standardnih dobrih praks osnovne administratorske higiene – administratorji naj ne brskajo po internetu, ne odpirajo dokumentov ipd.

Prav tako svetujemo, da poskrbite za redne posodobitve vaših sistemov z najnovejšimi popravki ter preverite, ali uporabljate vse varnostne funkcionalnosti, ki so že privzeto na voljo v operacijskem sistemu Windows – Windows Defender Exploit Guard, Windows Defender Application Control in Windows Defender Credential Guard na primer močno zmanjšajo verjetnost za uspešno izvedbo celotnega napada.

Če imate težave z uvedbo priporočil ali bi želeli podrobneje preveriti varnostno tveganje, ki ga predstavljajo takšne ali podobne ranljivosti za vaše IT-okolje, se lahko posvetujete z našimi varnostnimi strokovnjaki iz NIL-ovega varnostno operativnega centra (SOC).

O avtorju/avtorici

Jan Češčut

Svetovalec za kibernetsko varnost

Jan Češčut je član NIL-ove skupine strokovnjakov, ki sestavljajo ekipo NIL-ovega varnostno operativnega centra (SOC). Tu je osredotočen predvsem na končne točke in Microsoft rešitve na področju varnosti: Azure Sentinel, Azure ATP, Microsoft Defender ATP in Microsoft Cloud App Security.

Primož Ivančič

Analitik kibernetski varnosti

Primož ima več kot 10 let izkušenj s področij informacijske varnosti, poslovnih omrežij in sistemske administracije. V NIL-ovem varnostno operativnem centru (SOC) dela kot varnostni analitik, specializiran pa je za Microsoftove tehnologije in rešitve. Preden se je pridružil NIL-u je deloval v bančnih in finančnih inštitucijah. Diplomiral je na Fakulteti za računalništvo in informatiko Univerze v Ljubljani.

Jan Češčut

Svetovalec za kibernetsko varnost

Primož Ivančič

Analitik kibernetski varnosti

Recent Blog posts

Povezane

vsebine