微软紧急发布Type 1字体解析远程代码执行漏洞通告

更新时间

2020年 3月 24日

威胁目标

使用windows的企业

主要风险

远程代码执行

攻击入口

暂不公开

使用漏洞

暂无

受影响应用

Windows众多版本

已知影响

接管服务器

威胁程度

高

0x04 威胁程度

个人风险评级：中危

企业风险评级：高危

情报风险预警：对公司影响等级为高，对使用windows相应版本的企业均有被攻击的风险。

0x05 情报描述

Adobe Type Manager（ATM）是由Adobe Systems创建以用于其Postscript Type 1字体的一系列计算机程序的名称。Windows和MacOS等现代操作系统都内置了对Postscript字体的支持，从而无需使用Adobe的第三方实用程序。

Type 1矢量轮廓字体是Postscript的一种特殊形式（全球印刷和成像标准），其中包含从可缩放的线条和曲线来构建轮廓的说明。

ADV200006，Type 1字体解析远程代码执行漏洞。该漏洞属于0day漏洞，可能导致远程代码执行，且目前已发现在野攻击。Windows内置的Adobe Type Manager库在解析特制的Adobe Type 1 Postscript格式时处理不恰当，造成了远程代码执行。

攻击者可以通过多种方式利用这些漏洞。例如，攻击者可以诱使用户打开特制文档或在Windows预览窗格中查看它。Windows资源管理器（在Windows 10中称为文件资源管理器）使用Windows预览窗格来预览图片，视频和其他内容。

奇安信代码安全实验室的安全专家指出，该漏洞影响Windows XP 至Windows 10 的所有系统版本，不过对不同系统版本产生的危害不一样，例如在 Windows 7、Windows XP 环境下可获得内核权限（危害巨大）、在 Windows 10的环境下可获得沙箱内权限（危害小）。

0x06 影响版本

Windows 10 for 32-bitSystems

Windows 10 for x64-basedSystems

Windows 10 Version 1607 for32-bit Systems

Windows 10 Version 1607 forx64-based Systems

Windows 10 Version 1709 for32-bit Systems

Windows 10 Version 1709 forARM64-based Systems

Windows 10 Version 1709 forx64-based Systems

Windows 10 Version 1803 for32-bit Systems

Windows 10 Version 1803 forARM64-based Systems

Windows 10 Version 1803 forx64-based Systems

Windows 10 Version 1809 for32-bit Systems

Windows 10 Version 1809 forARM64-based Systems

Windows 10 Version 1809 forx64-based Systems

Windows 10 Version 1903 for32-bit Systems

Windows 10 Version 1903 forARM64-based Systems

Windows 10 Version 1903 forx64-based Systems

Windows 10 Version 1909 for32-bit Systems

Windows 10 Version 1909 forARM64-based Systems

Windows 10 Version 1909 forx64-based Systems

Windows 7 for 32-bit SystemsService Pack 1

Windows 7 for x64-basedSystems Service Pack 1

Windows 8.1 for 32-bitsystems

Windows 8.1 for x64-basedsystems

Windows RT 8.1

Windows Server 2008 for32-bit Systems Service Pack 2

Windows Server 2008 for32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 forItanium-based Systems Service Pack 2

Windows Server 2008 forx64-based Systems Service Pack 2

Windows Server 2008 forx64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 R2 forItanium-based Systems Service Pack 1

Windows Server 2008 R2 forx64-based Systems Service Pack 1

Windows Server 2008 R2 forx64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2012

Windows Server 2012 (ServerCore installation)

Windows Server 2012 R2

Windows Server 2012 R2(Server Core installation)

Windows Server 2016

Windows Server 2016 (ServerCore installation)

Windows Server 2019

Windows Server 2019 (ServerCore installation)

Windows Server, version 1803(Server Core Installation)

Windows Server, version 1903(Server Core installation)

Windows Server, version 1909(Server Core installation)

windows    众多版本

0x07总结以及处置建议

修复建议：

根据微软提供的以下临时缓解措施进行配置：

一、在Windows资源管理器中禁用预览窗格和详细信息窗格；

在 Windows 资源管理器中禁用“预览”和“详细信息”窗格将阻止在 Windows资源管理器中自动显示 OTF 字体。虽然这可以防止在 Windows 资源管理器中查看恶意文件，但不能阻止经过身份验证的本地用户运行特制程序来利用此漏洞。要在 Windows Server 2008，Windows 7，Windows Server 2008 R2，Windows Server 2012，Windows Server 2012 R2和Windows 8.1中禁用这些窗格，请执行以下步骤：

1. 打开 Windows 资源管理器，单击“ 组织”，然后单击“ 布局”。

2. 清除“ 详细信息”窗格和“ 预览”窗格的菜单选项。

3. 单击“ 整理”，然后单击“ 文件夹和搜索选项”。

4. 单击查看选项卡。

5. 在“ 高级设置”下，选中“ 始终显示图标，从不显示缩略图”框。

6. 关闭 Windows 资源管理器的所有打开的实例，以使更改生效。

对于 Windows Server 2016，Windows 10和Windows Server 2019，请执行以下步骤：

1. 打开 Windows 资源管理器，单击“ 查看”选项卡。

2. 清除“ 详细信息”窗格和“ 预览”窗格的菜单选项。

3. 单击选项，然后单击更改文件夹和搜索选项。

4. 单击查看选项卡。

5. 在“ 高级设置”下，选中“ 始终显示图标，从不显示缩略图”框。

6. 关闭 Windows 资源管理器的所有打开的实例，以使更改生效。

缓解措施造成的影响：

Windows 资源管理器不会自动显示 OTF 字体。

二、 禁用WebClient服务

1. 单击开始，单击运行（或按键盘上的Windows键和R），键入Services.msc，然后单击确定。

2. 右键单击WebClient服务，然后选择属性。

3. 将启动类型更改为已禁用。如果服务正在运行，请单击“ 停止”。

4. 单击确定，然后退出管理应用程序。

缓解措施的影响：

禁用WebClient服务时，将不发送Web分布式创作和版本控制（WebDAV）请求。此外，任何明确依赖于WebClient服务的服务都不会启动，并且错误消息将记录在系统日志中。例如，将无法从客户端计算机访问WebDAV共享。

三、 重命名ATMFD.DLL

请注意：从 Windows 10 版本 1709 开始的 Windows 10 安装中不存在ATMFD.DLL。较新的版本没有此 DLL。有关更多信息，请参见缓解部分。

32位操作系统缓解方式：

1.  在管理员权限的命令行里输入

cd "%windir%system32"

takeown.exe /f atmfd.dll

icacls.exe atmfd.dll /save atmfd.dll.acl

icacls.exe atmfd.dll /grant Administrators:(F)

rename atmfd.dll x-atmfd.dll

2.  重启系统

64位操作系统缓解方式：

1.  在管理员权限的命令行里输入

    cd "%windir%system32"

    takeown.exe /f atmfd.dll

    icacls.exe atmfd.dll /save atmfd.dll.acl

    icacls.exe atmfd.dll /grant Administrators:(F)

    rename atmfd.dll x-atmfd.dll

    cd "%windir%syswow64"

    takeown.exe /f atmfd.dll

    icacls.exe atmfd.dll /save atmfd.dll.acl

    icacls.exe atmfd.dll /grant Administrators:(F)

    rename atmfd.dll x-atmfd.dll

2. 重启系统

0x08参考链接

    https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200006