WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
443 bài viết
Tất cả phiên bản Windows bị ảnh hưởng bởi hai lỗ hổng 0-day nghiêm trọng, chưa có bản vá
Microsoft vừa phát đi khuyến cáo an ninh, cảnh báo hàng tỉ người dùng Windows về hai lỗ hổng zero-day nghiêm trọng và chưa có bản vá có thể cho phép tin tặc chiếm quyền kiểm soát máy tính mục tiêu từ xa.
Theo Microsoft, cả hai lỗ hổng này chỉ giới hạn trong một số cuộc tấn công và ảnh hưởng đến tất cả các hệ điều hành đang được hỗ trợ hiện nay gồm Windows 10, 8.1, Server 2008, 2012, 2016 và 2019 cũng như Windows 7 mà Microsoft đã không còn hỗ trợ từ 14/01/2020.
Cả hai lỗ hổng nằm trong thư viện quản lý font chữ Adobe Type Manager (ATM). ATM không chỉ hỗ trợ hiển thị nội dung khi mở bằng phần mềm của bên thứ ba mà còn hiển thị nội dung của file ở chế độ Preview Pane (xem trước), hoặc Details Pane (xem chi tiết) trong Windows Explorer mà không cần người dùng mở file.
Lỗ hổng tồn tại trong Microsoft Windows khi ATM xử lý không đúng font chữ Adobe Type 1 PostScript tạo điều kiện cho kẻ tấn công từ xa thực thi mã độc tùy ý trên các hệ thống mục tiêu bằng cách thuyết phục người dùng mở tài liệu độc hại hoặc xem ở chế độ Preview pane.
Microsoft cho biết: “Đối với các hệ thống chạy hệ điều hành Windows 10, khai thác thành công lỗ hổng sẽ chỉ dẫn đến thực thi mã trong phạm vi AppContainer sandbox với đặc quyền và khả năng khai thác hạn chế”.
Hiện vẫn chưa rõ liệu các lỗ hổng có thể được kích hoạt từ xa qua trình duyệt web bằng cách lừa người dùng truy cập một trang web có chứa các font OTF độc hại hay không. Tuy nhiên, có nhiều cách khác để kẻ tấn công có thể khai thác lỗ hổng, như qua dịch vụ client của Web Distributed Authoring và Versioning (WebDAV).
Lỗ hổng chưa có bản vá
Microsoft đang tiến hành việc vá lỗi và sẽ phát hành qua bản cập nhật Patch Tuesday vào ngày 14/04/2020. Việc cấu hình an ninh nâng cao không giảm thiểu được nguy cơ về lỗ hổng.
Người dùng được khuyến cáo áp dụng các biện pháp sau đây để giảm thiểu nguy cơ bị tấn công
1. Tắt chế độ Preview Pane và Details Pane trong Windows Explorer
2. Tắt dịch vụ WebClient
Ngoài ra, người dùng cũng được khuyến cáo tắt dịch vụ WebClient để tránh bị tấn công:
3. Đổi tên hoặc tắt ATMFD.DLL
Microsoft cũng đồng thời yêu cầu người dùng đổi tên file Adobe Type Manager Font Driver (ATMFD.dll) để tắt tạm thời công nghệ nhúng font này, tuy nhiên việc làm này có thể khiến các ứng dụng của bên thứ 3 dừng hoạt động.
Nhập các lệnh sau tại chương trình quản lý dòng lệnh (command prompt):
Đối với bản 32 bit:
cd "%windir%\system32"
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators
F)
rename atmfd.dll x-atmfd.dll
Đối với bản 64 bit:
cd "%windir%\system32"
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant AdministratorsF)
rename atmfd.dll x-atmfd.dll
cd "%windir%\syswow64"
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant AdministratorsF)
rename atmfd.dll x-atmfd.dll
Sau đó khởi động lại hệ thống để hoàn tất.
Theo Microsoft, cả hai lỗ hổng này chỉ giới hạn trong một số cuộc tấn công và ảnh hưởng đến tất cả các hệ điều hành đang được hỗ trợ hiện nay gồm Windows 10, 8.1, Server 2008, 2012, 2016 và 2019 cũng như Windows 7 mà Microsoft đã không còn hỗ trợ từ 14/01/2020.
Cả hai lỗ hổng nằm trong thư viện quản lý font chữ Adobe Type Manager (ATM). ATM không chỉ hỗ trợ hiển thị nội dung khi mở bằng phần mềm của bên thứ ba mà còn hiển thị nội dung của file ở chế độ Preview Pane (xem trước), hoặc Details Pane (xem chi tiết) trong Windows Explorer mà không cần người dùng mở file.
Lỗ hổng tồn tại trong Microsoft Windows khi ATM xử lý không đúng font chữ Adobe Type 1 PostScript tạo điều kiện cho kẻ tấn công từ xa thực thi mã độc tùy ý trên các hệ thống mục tiêu bằng cách thuyết phục người dùng mở tài liệu độc hại hoặc xem ở chế độ Preview pane.
Microsoft cho biết: “Đối với các hệ thống chạy hệ điều hành Windows 10, khai thác thành công lỗ hổng sẽ chỉ dẫn đến thực thi mã trong phạm vi AppContainer sandbox với đặc quyền và khả năng khai thác hạn chế”.
Hiện vẫn chưa rõ liệu các lỗ hổng có thể được kích hoạt từ xa qua trình duyệt web bằng cách lừa người dùng truy cập một trang web có chứa các font OTF độc hại hay không. Tuy nhiên, có nhiều cách khác để kẻ tấn công có thể khai thác lỗ hổng, như qua dịch vụ client của Web Distributed Authoring và Versioning (WebDAV).
Lỗ hổng chưa có bản vá
Microsoft đang tiến hành việc vá lỗi và sẽ phát hành qua bản cập nhật Patch Tuesday vào ngày 14/04/2020. Việc cấu hình an ninh nâng cao không giảm thiểu được nguy cơ về lỗ hổng.
Người dùng được khuyến cáo áp dụng các biện pháp sau đây để giảm thiểu nguy cơ bị tấn công
1. Tắt chế độ Preview Pane và Details Pane trong Windows Explorer
- Mở Windows Explorer, bấm chọn Organize và nhấn Layout.
- Trên thanh menu, bỏ chọn cả Details pane và Preview pane
- Click vào tab Organize và chọn Folder and search options
- Trên cửa sổ Folder Options, chọn tab View
- Tại mục Advanced settings (cài đặt nâng cao), tick chọn Always show icons, never thumbnails box.
- Nhấn OK để hoàn tất
2. Tắt dịch vụ WebClient
Ngoài ra, người dùng cũng được khuyến cáo tắt dịch vụ WebClient để tránh bị tấn công:
- Nhấn vào nút Start, chọn Run (hoặc bấm tổ hợp Windows + R trên bàn phím), gõ Services.msc và chọn OK.
- Bấm chuột phải vào dịch vụ WebClient và chọn Properties
- Đổi Startup thành Disable. Nếu dịch vụ đang chạy, click chọn Stop.
- Bấm vào OK để hoàn thành
3. Đổi tên hoặc tắt ATMFD.DLL
Microsoft cũng đồng thời yêu cầu người dùng đổi tên file Adobe Type Manager Font Driver (ATMFD.dll) để tắt tạm thời công nghệ nhúng font này, tuy nhiên việc làm này có thể khiến các ứng dụng của bên thứ 3 dừng hoạt động.
Nhập các lệnh sau tại chương trình quản lý dòng lệnh (command prompt):
Đối với bản 32 bit:
cd "%windir%\system32"
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators
F)rename atmfd.dll x-atmfd.dll
Đối với bản 64 bit:
cd "%windir%\system32"
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators
F)rename atmfd.dll x-atmfd.dll
cd "%windir%\syswow64"
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators
F)rename atmfd.dll x-atmfd.dll
Sau đó khởi động lại hệ thống để hoàn tất.
Theo The Hacker News