Tất cả phiên bản Windows bị ảnh hưởng bởi hai lỗ hổng 0-day nghiêm trọng, chưa có bản vá

WhiteHat News #ID:2018

WhiteHat Support
20/03/2017
129
444 bài viết
Tất cả phiên bản Windows bị ảnh hưởng bởi hai lỗ hổng 0-day nghiêm trọng, chưa có bản vá
Microsoft vừa phát đi khuyến cáo an ninh, cảnh báo hàng tỉ người dùng Windows về hai lỗ hổng zero-day nghiêm trọng và chưa có bản vá có thể cho phép tin tặc chiếm quyền kiểm soát máy tính mục tiêu từ xa.

Theo Microsoft, cả hai lỗ hổng này chỉ giới hạn trong một số cuộc tấn công và ảnh hưởng đến tất cả các hệ điều hành đang được hỗ trợ hiện nay gồm Windows 10, 8.1, Server 2008, 2012, 2016 và 2019 cũng như Windows 7 mà Microsoft đã không còn hỗ trợ từ 14/01/2020.

0_day_RCE_unpatched_windows.jpg

Cả hai lỗ hổng nằm trong thư viện quản lý font chữ Adobe Type Manager (ATM). ATM không chỉ hỗ trợ hiển thị nội dung khi mở bằng phần mềm của bên thứ ba mà còn hiển thị nội dung của file ở chế độ Preview Pane (xem trước), hoặc Details Pane (xem chi tiết) trong Windows Explorer mà không cần người dùng mở file.

Lỗ hổng tồn tại trong Microsoft Windows khi ATM xử lý không đúng font chữ Adobe Type 1 PostScript tạo điều kiện cho kẻ tấn công từ xa thực thi mã độc tùy ý trên các hệ thống mục tiêu bằng cách thuyết phục người dùng mở tài liệu độc hại hoặc xem ở chế độ Preview pane.

Microsoft cho biết: “Đối với các hệ thống chạy hệ điều hành Windows 10, khai thác thành công lỗ hổng sẽ chỉ dẫn đến thực thi mã trong phạm vi AppContainer sandbox với đặc quyền và khả năng khai thác hạn chế”.

Hiện vẫn chưa rõ liệu các lỗ hổng có thể được kích hoạt từ xa qua trình duyệt web bằng cách lừa người dùng truy cập một trang web có chứa các font OTF độc hại hay không. Tuy nhiên, có nhiều cách khác để kẻ tấn công có thể khai thác lỗ hổng, như qua dịch vụ client của Web Distributed Authoring và Versioning (WebDAV).

Lỗ hổng chưa có bản vá

Microsoft đang tiến hành việc vá lỗi và sẽ phát hành qua bản cập nhật Patch Tuesday vào ngày 14/04/2020. Việc cấu hình an ninh nâng cao không giảm thiểu được nguy cơ về lỗ hổng.

Người dùng được khuyến cáo áp dụng các biện pháp sau đây để giảm thiểu nguy cơ bị tấn công

1. Tắt chế độ Preview Pane và Details Pane trong Windows Explorer
  • Mở Windows Explorer, bấm chọn Organize và nhấn Layout.
  • Trên thanh menu, bỏ chọn cả Details pane và Preview pane
  • Click vào tab Organize và chọn Folder and search options
  • Trên cửa sổ Folder Options, chọn tab View
  • Tại mục Advanced settings (cài đặt nâng cao), tick chọn Always show icons, never thumbnails box.
  • Nhấn OK để hoàn tất
Tuy nhiên, cần lưu ý, việc khắc phục này chỉ ngăn chặn file độc hại được xem trong Windows Explorer, chứ không ngăn phần mềm của bên thứ ba hợp pháp tải về thư viện font chữ tồn tại lỗ hổng.

2. Tắt dịch vụ WebClient

Ngoài ra, người dùng cũng được khuyến cáo tắt dịch vụ WebClient để tránh bị tấn công:
  • Nhấn vào nút Start, chọn Run (hoặc bấm tổ hợp Windows + R trên bàn phím), gõ Services.msc và chọn OK.
  • Bấm chuột phải vào dịch vụ WebClient và chọn Properties
  • Đổi Startup thành Disable. Nếu dịch vụ đang chạy, click chọn Stop.
  • Bấm vào OK để hoàn thành
Microsoft cũng cảnh báo thêm: “Sau khi áp dụng biện pháp khắc phục này, máy tính người dùng vẫn có khả năng bị kẻ tấn công từ xa khai thác khiến hệ thống chạy các chương trình được đặt trong máy tính mục tiêu hoặc mạng LAN, nhưng người dùng sẽ được yêu cầu xác nhận trước khi mở các chương trình tùy ý từ Internet”.

3. Đổi tên hoặc tắt ATMFD.DLL

Microsoft cũng đồng thời yêu cầu người dùng đổi tên file Adobe Type Manager Font Driver (ATMFD.dll) để tắt tạm thời công nghệ nhúng font này, tuy nhiên việc làm này có thể khiến các ứng dụng của bên thứ 3 dừng hoạt động.

Nhập các lệnh sau tại chương trình quản lý dòng lệnh (command prompt):

Đối với bản 32 bit:

cd "%windir%\system32"

takeown.exe /f atmfd.dll

icacls.exe atmfd.dll /save atmfd.dll.acl

icacls.exe atmfd.dll /grant Administrators:(F)

rename atmfd.dll x-atmfd.dll

Đối với bản 64 bit:

cd "%windir%\system32"

takeown.exe /f atmfd.dll

icacls.exe atmfd.dll /save atmfd.dll.acl

icacls.exe atmfd.dll /grant Administrators:(F)

rename atmfd.dll x-atmfd.dll

cd "%windir%\syswow64"

takeown.exe /f atmfd.dll

icacls.exe atmfd.dll /save atmfd.dll.acl

icacls.exe atmfd.dll /grant Administrators:(F)

rename atmfd.dll x-atmfd.dll

Sau đó khởi động lại hệ thống để hoàn tất.

Theo The Hacker News
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
adobe type manager rce
Bên trên