Microsoft: Offene 0-Day-Lücken für Windows 10 nicht mehr kritisch

Meldung von doelf, Sonntag der 29.03.2020, 15:56:39 Uhr

Am 23. März 2020 hatte Microsoft erstmals vor zwei kritischen 0-Day-Lücken in der Bibliothek atmfd.dll gewarnt und diese als kritisch eingestuft. Nach ein Neubewertung bleiben die Schwachstellen für Windows 7, 8.1, RT 8.1 sowie Windows Server 2008 bis 2012 kritisch, doch ab Windows 10 und Server 2016 sinkt das Risikopotential auf hoch.

Was über die Sicherheitslücken bekannt ist
Wie Microsoft erklärt, patzt atmfd.dll (Adobe Type Manager) bei der Verarbeitung von Schriftarten im PostScript-Format Adobe Type 1. Wird eine solcher Font entsprechend manipuliert, führt der Parser den enthaltenen Schadcode schlimmstenfalls im Rechtekontext des Kernels aus. Damit atmfd.dll aktiv wird, muss nicht einmal ein präpariertes Dokument geöffnet werden, denn die Speicherfehler lassen sich bereits über die Vorschaufunktion des Explorers (Windows Explorer, NICHT Internet Explorer) ansprechen.

Alle Windows-Versionen betroffen, aktuelle sind aber besser geschützt
Was die akute Gefährdung betrifft, gibt es hinsichtlich der unterschiedlichen Windows-Versionen deutliche Unterschiede: Vor Windows 10 werden das Programm fontdrvhost.exe und die installierten Fonts im Kernel-Modus ausgeführt, was das größte Risiko darstellt. Ab Windows 10 wandert fontdrvhost.exe in einen App-Container im User-Modus, die Schriften selber werden aber weiter im privilegierten Kernel-Modus verarbeitet. Erst ab Windows 10 Version 1703 landen auch die Fonts in den User-Modus, wodurch die Tragweite der Angriffe deutlich reduziert wird. Seit Windows 10 Version 1709 gehört die Bibliothek atmfd.dll nicht mehr zum standardmäßigen Lieferumfang von Windows 10, so dass der Angriff scheitert. Allerdings kann atmfd.dll von Drittanbieterprogrammen installiert werden, so dass auch Windows 10 Version 1909 angreifbar bleibt.

Die vorgeschlagenen Gegenmaßnahmen
Eine von Microsoft vorgeschlagene Gegenmaßnahme zielt darauf ab, die Vorschau zu deaktivieren. Sollte ein Benutzer eine manipulierte Datei öffnen, bleibt diese Vorkehrung allerdings wirkungslos. Weiterhin schlagen die Redmonder vor, den WebClient-Dienst zu stoppen, um WebDAV (Web Distributed Authoring and Versioning) als wahrscheinlichsten Einfallsvektor zu versperren. Den auf diese Weise geschützten PCs bleibt dann allerdings der Zugriff auf WebDAV-Freigaben verwehrt. Wir erachten den dritten Vorschlag als den sinnvollsten: Die Umbenennung der verwundbaren Bibliothek atmfd.dll, welche man im Windows-Verzeichnis in den Unterordnern system32 (32- und 64-Bit Varianten von Windows) und syswow64 (nur 64-Bit Varianten von Windows) findet.

Flicken in Arbeit
Laut Microsoft arbeitet man bereits an einer dauerhaften Lösung, deren Freigabe allerdings erst für den April-Patch-Day geplant ist. Dummerweise ist der 31. März 2020 ein Dienstag, so dass der April-Patch-Day erst am 14. April 2020 abgehalten wird. Mit der nun vollzogenen Herabstufung der beiden 0-Day-Lücken ist eine vorgezogene Veröffentlichung sehr unwahrscheinlich geworden.

Aktualisierte Sicherheitswarnung inklusive der Gegenmaßnahmen: ADV200006 - Type 1 Font Parsing Remote Code Execution Vulnerability

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]