Werbung
Jetzt vorbestellen: Star Wars: Der Aufstieg Skywalkers


Zwei kritische 0-Day-Lücken bedrohen Windows

Meldung von doelf, Dienstag der 24.03.2020, 14:32:40 Uhr

Microsoft warnt vor zwei kritischen 0-Day-Lücken, welche Windows 7 bis 10, Windows RT 8.1 sowie Windows Server 2008 bis 2019 bedrohen. Die beiden Fehler stecken in der Bibliothek atmfd.dll, also im Adobe Type Manager. Es ist bereits zu gezielten Attacken gekommen, in deren Verlauf die Angreifer Schadcode platzieren und ausführen konnten. Ein Patch steht noch aus, aber es gibt mehrere Workarounds, um die Gefahr zu minimieren.

Was über die Sicherheitslücken bekannt ist
Wie Microsoft erklärt, patzt atmfd.dll bei der Verarbeitung von Schriftarten im PostScript-Format Adobe Type 1. Wird eine solcher Font entsprechend manipuliert, führt der Parser den enthaltenen Schadcode schlimmstenfalls im Rechtekontext des Kernels aus. Damit atmfd.dll aktiv wird, muss nicht einmal ein präpariertes Dokument geöffnet werden, denn die Speicherfehler lassen sich bereits über die Vorschaufunktion des Explorers (Windows Explorer, NICHT Internet Explorer) ansprechen.

Alle Windows-Versionen betroffen, aktuelle sind aber besser geschützt
Was die akute Gefährdung betrifft, gibt es hinsichtlich der unterschiedlichen Windows-Versionen deutliche Unterschiede: Bis Windows 10 Version 1607 und Server 2016 werden installierte Fonts im Kernel-Modus ausgeführt, was das größte Risiko darstellt. Ab Windows 10 Version 1703 kommt ein App-Container im User-Modus zum Einsatz, wodurch die Tragweite der Angriffe deutlich reduziert wird. Ab Windows 10 Version 1709 gehört die Bibliothek atmfd.dll nicht mehr zum standardmäßigen Lieferumfang von Windows 10, so dass der Angriff scheitert. Allerdings kann atmfd.dll von Drittanbieterprogrammen installiert werden, so dass auch Windows 10 Version 1909 angreifbar bleibt.

Die vorgeschlagenen Gegenmaßnahmen
Eine von Microsoft vorgeschlagene Gegenmaßnahme zielt darauf ab, die Vorschau zu deaktivieren. Sollte ein Benutzer eine manipulierte Datei öffnen, bleibt diese Vorkehrung allerdings wirkungslos. Weiterhin schlagen die Redmonder vor, den WebClient-Dienst zu stoppen, um WebDAV (Web Distributed Authoring and Versioning) als wahrscheinlichsten Einfallsvektor zu versperren. Den auf diese Weise geschützten PCs bleibt dann allerdings der Zugriff auf WebDAV-Freigaben verwehrt. Wir erachten den dritten Vorschlag als den sinnvollsten: Die Umbenennung der verwundbaren Bibliothek atmfd.dll, welche man im Windows-Verzeichnis in den Unterordnern system32 (32- und 64-Bit Varianten von Windows) und syswow64 (nur 64-Bit Varianten von Windows) findet.

Flicken in Arbeit
Laut Microsoft arbeitet man bereits an einer dauerhaften Lösung, doch von einer außerplanmäßigen Veröffentlichung ist noch keine Rede. Stattdessen verweist das Unternehmen auf seinen monatlichen Patch-Day-Zyklus, der immer am zweiten Dienstag eines Monats stattfindet. Dummerweise ist der 31. März 2020 ein Dienstag, wodurch der nächste Patch-Day erst am 14. April 2020 abgehalten wird. Dass Microsoft wirklich mehr als drei Wochen warten wird, bis diese 0-Day-Lücken endlich abgedichtet werden, halten wir für weniger wahrscheinlich.

Microsofts Sicherheitswarnung inklusive der Gegenmaßnahmen: ADV200006 - Type 1 Font Parsing Remote Code Execution Vulnerability

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]