漏洞名称:微软Type 1字体解析远程代码执行漏洞(ADV200006)
威胁等级:高危
影响范围:Windows 常见所有主流系统
漏洞类型:远程代码执行
漏洞分析
1 Adobe Type Manager介绍
Adobe Type Manager(ATM)是由Adobe Systems创建以用于其PostScript Type 1字体的一系列计算机程序的名称。Windows和MacOS等现代操作系统都内置了对PostScript字体的支持,从而无需使用Adobe的第三方实用程序。
Type 1矢量轮廓字体是PostScript的一种特殊形式(全球印刷和成像标准),其中包含从可缩放的线条和曲线来构建轮廓的说明。
2 漏洞描述
影响范围
解决方案
1修复建议
①在Windows资源管理器中禁用预览窗格和详细信息窗格
缓解措施的影响:
Windows资源管理器不会自动显示OTF字体。
②禁用WebClient服务
要禁用WebClient服务,请执行以下步骤:
缓解措施的影响:
③重命名ATMFD.DLL
对于32位系统:
1. 在管理命令提示符处输入以下命令:
cd "%windir%system32"
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F)
rename atmfd.dll x-atmfd.dll
2. 重新启动系统。
对于64位系统:
1. 在管理命令提示符处输入以下命令:
cd "%windir%system32"
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F)
rename atmfd.dll x-atmfd.dll
cd "%windir%syswow64"
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F)
rename atmfd.dll x-atmfd.dll
2. 重新启动系统。
方法1(手动编辑系统注册表):
方法2(使用托管部署脚本):
1. 创建一个名为ATMFD-disable.reg的文本文件,其中包含以下文本:
Windows Registry Editor Version 5.00
[ ]
"DisableATMFD"=dword:00000001
缓解措施的影响:
2 缓解措施解除
①在Windows资源管理器中恢复使用预览窗格和详细信息窗格
对于Windows Server 2016,Windows 10和Windows Server 2019:
②恢复使用WebClient服务
要重新启用WebClient服务,请执行以下步骤:
③撤销重命名ATMFD.DLL
对于32位系统:
1. 在管理命令提示符处输入以下命令:
cd "%windir%system32"
rename x-atmfd.dll atmfd.dll
icacls.exe atmfd.dll /setowner "NT SERVICETrustedInstaller"
icacls.exe . /restore atmfd.dll.acl
2. 重新启动系统。
对于64位系统:
1. 在管理命令提示符处输入以下命令:
cd "%windir%system32"
rename x-atmfd.dll atmfd.dll
icacls.exe atmfd.dll /setowner "NT SERVICETrustedInstaller"
icacls.exe . /restore atmfd.dll.acl
cd "%windir%syswow64"
rename x-atmfd.dll atmfd.dll
icacls.exe atmfd.dll /setowner "NT SERVICETrustedInstaller"
icacls.exe . /restore atmfd.dll.acl
2. 重新启动系统。
Windows 8.1或更低版本操作系统的可选过程(启用ATMFD):
参考链接
[1].https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/adv200006#ID0EWIAC
时间轴
2020/03/23
微软发布漏洞通告
2020/03/24
深信服千里目实验室进行漏洞通告
原文始发于微信公众号(深信服千里目安全实验室):微软Type 1字体解析远程代码执行漏洞安全风险通告(ADV200006)
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论