Sec Hotspot 首页  排行榜  收藏本站  技术博客  RSS
统计信息
已收录文章数量:12963 篇
已收录公众号数量:89 个
本站文章为爬虫采集,如有侵权请告知
本周热门文章
红队渗透手册之弹药篇   2020.08.08 17:12:23  288
Chrome浏览器的实用插件推荐   2020.08.04 20:01:02  99
记录一次“梅花三弄”的渗透之旅   2020.08.03 20:00:35  77
用这个网站一查,才知道自己被卖了   2020.08.04 20:06:35  72
WMCTF-WriteUp   2020.08.06 08:00:37  65
每日攻防资讯简报[Aug.3th]   2020.08.03 20:00:04  55
已收录微信公众号
网信中国 区块链大本营 白说区块链 区块链投资家 区块链官微 区块链铅笔Blockchain HACK学习呀 二道情报贩子 合天智汇 小白帽学习之路 小米安全中心 弥天安全实验室 SAINTSEC SecPulse安全脉搏 TideSec安全团队 360安全卫士 游侠安全网 计算机与网络安全 安全祖师爷 安全学习那些事 腾讯安全联合实验室 黑客技术与网络安全 安全圈 腾讯御见威胁情报中心 Python开发者 Python之禅 编程派 Python那些事 Python程序员 安全威胁情报 吾爱破解论坛 行长叠报 安在 i春秋 嘶吼专业版 E安全 MottoIN 网信防务 网安杂谈 数说安全 互联网安全内参 漏洞战争 安全分析与研究 邑安全 ChaMd5安全团队 天融信阿尔法实验室 安全牛 SecWiki 安全学术圈 信安之路 漏洞感知 浅黑科技 Secquan圈子社区 奇安信集团 奇安信 CERT 国舜股份 雷神众测 盘古实验室 美团安全应急响应中心 瓜子安全应急响应中心 顺丰安全应急响应中心 蚂蚁金服安全响应中心 携程安全应急响应中心 滴滴安全应急响应中心 字节跳动安全中心 百度安全应急响应中心 腾讯安全应急响应中心 网易安全应急响应中心 OPPO安全应急响应中心 京东安全应急响应中心 Bypass CNNVD安全动态 安恒应急响应中心 天融信每日安全简报 奇安信威胁情报中心 看雪学院 黑白之道 水滴安全实验室 安全客 木星安全实验室 云鼎实验室 绿盟科技安全预警 白帽汇 深信服千里目安全实验室 腾讯玄武实验室 长亭安全课堂 FreeBuf 绿盟科技 nmask
【漏洞通告】微软Type 1字体分析远程执行代码漏洞通告
本文来自公众号:绿盟科技安全预警   2020.03.24 16:52:36


通告编号:NS-2020-0020

2020-03-24
TA G: Microsoft Type 1字体、远程代码执行
漏洞危害: 攻击者利用漏洞 ,可实现远程代码执行。
版本: 1.0

1

漏洞概述


3月24日,微软发布了编号为ADV200006的安全通告,通告指出Adobe Type Manager Library在处理multi-master字体(Adobe Type 1 PostScript格式)时存在缺陷,攻击者可以精心构造恶意文档并诱使用户使用Windows Preview pane预览,从而利用该漏洞来远程执行代码。

微软暂未发布相关的修复补丁,补丁预计在4月补丁日发布。攻击者可通过多种方式实施攻击,典型利用方式是结合社会工程学引诱受害者打开精心构造的恶意文档,目前已发现存在在野攻击,建议受影响的用户采取相应的缓解措施进行防护。


参考链接:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200006


SEE MORE →


2 影响范围

受影响版本

  • Windows 10 for 32-bit Systems

  • Windows 10 for x64-based Systems

  • Windows 10 Version 1607 for 32-bit Systems

  • Windows 10 Version 1607 for x64-based Systems

  • Windows 10 Version 1709 for 32-bit Systems

  • Windows 10 Version 1709 for ARM64-based Systems

  • Windows 10 Version 1709 for x64-based Systems

  • Windows 10 Version 1803 for 32-bit Systems

  • Windows 10 Version 1803 for ARM64-based Systems

  • Windows 10 Version 1803 for x64-based Systems

  • Windows 10 Version 1809 for 32-bit Systems

  • Windows 10 Version 1809 for ARM64-based Systems

  • Windows 10 Version 1809 for x64-based Systems

  • Windows 10 Version 1903 for 32-bit Systems

  • Windows 10 Version 1903 for ARM64-based Systems

  • Windows 10 Version 1903 for x64-based Systems

  • Windows 10 Version 1909 for 32-bit Systems

  • Windows 10 Version 1909 for ARM64-based Systems

  • Windows 10 Version 1909 for x64-based Systems

  • Windows 7 for 32-bit Systems Service Pack 1

  • Windows 7 for x64-based Systems Service Pack 1

  • Windows 8.1 for 32-bit systems

  • Windows 8.1 for x64-based systems

  • Windows RT 8.1

  • Windows Server 2008 for 32-bit Systems Service Pack 2

  • Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

  • Windows Server 2008 for Itanium-Based Systems Service Pack 2

  • Windows Server 2008 for x64-based Systems Service Pack 2

  • Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

  • Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1

  • Windows Server 2008 R2 for x64-based Systems Service Pack 1

  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

  • Windows Server 2012

  • Windows Server 2012 (Server Core installation)

  • Windows Server 2012 R2

  • Windows Server 2012 R2 (Server Core installation)

  • Windows Server 2016

  • Windows Server 2016 (Server Core installation)

  • Windows Server 2019

  • Windows Server 2019 (Server Core installation)


3 漏洞检测

3.1  人工检测

打开资源管理器,在菜单栏中点击“查看”,检查是否有开启“预览窗格”或“详细信息窗格”,如果有开启其中任意一个,则可能存在漏洞风险。


4 漏洞防护

4.1  临时防护措施

目前微软暂未发布修复该漏洞的安全补丁,请相关用户持续关注官方动态: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200006

受影响的用户可选择下列官方提供的三类方法进行防护:

4.1.1 在Windows资源管理器中禁用预览窗格和详细信息窗格

在Windows资源管理器中禁用预览和详细信息窗格将阻止在Windows资源管理器中自动显示OTF字体。虽然可以防止在Windows资源管理器中查看恶意文件,但并不能阻止经过身份验证的本地用户运行特殊设计的程序来利用此漏洞。 注:使用该方法后 Windows 资源管理器将不会再自动显示OTF 字体。

Windows 7 、Windows 8.1 和Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2禁用预览窗格:

1. 打开Windows资源管理器,单击组织,然后单击布局。

2.  清除详细信息窗格和预览窗格的菜单选项。

3.  单击整理,然后单击文件夹和搜索选项。

4.  单击视图选项卡。

在高级设置下,选中“始终显示图标,从不显示缩略图框”。(如需撤销该方法,取消勾选即可恢复)

5. 关闭所有 Windows 资源管理器使配置生效。


Windows 10 和Windows Server 2016、Windows Server 2019禁用预览窗格:

1. 打开 Windows 资源管理器 (在Windows 10中为文件资源管理器) ,单击视图选项卡。

2. 清除详细信息窗格和预览窗格的菜单选项。

3. 单击选项,然后单击更改文件夹和搜索选项。

4. 单击视图选项卡。

在高级设置下,勾选始终显示图标,从不显示缩略图框。(如需 撤销该方法,取消勾选即可恢复

5. 关闭所有 Windows 资源管理器使配置生效。


4.1.2 禁用WebClient服务

要禁用WebClient服务,请按照以下步骤操作:

1. 单击开始,单击运行(或按键盘上的Windows 键和R),键入Services.msc,然后单击确定。

2. 右键单击WebClient服务,然后选择属性。

3. 将启动类型更改为禁用。如果服务正在运行,请单击停止。

4. 单击确定,退出管理应用程序。

注: 当禁用WebClient服务时,不会传输 Web 分布式创作和版本管理(WebDAV)请求,所有明确依赖于WebClient服务的任何服务将不会启动,并且会在系统日志中记录错误消息。例如,将无法从客户端计算机访问WebDAV共享。


4.1.3 重命名 ATMFD.DLL

一、 32 位操作系统:

1. 在管理命令提示符处输入以下命令:

cd "%windir%\system32"

takeown.exe /f atmfd.dll

icacls.exe atmfd.dll /save atmfd.dll.acl

icacls.exe atmfd.dll /grant Administrators:(F)

rename atmfd.dll x-atmfd.dll

2. 重启系统。


二、64位操作系统:

1. 在管理命令提示符处输入以下命令:

cd "%windir%\system32"

takeown.exe /f atmfd.dll

icacls.exe atmfd.dll /save atmfd.dll.acl

icacls.exe atmfd.dll /grant Administrators:(F)

rename atmfd.dll x-atmfd.dll

cd "%windir%\syswow64"

takeown.exe /f atmfd.dll

icacls.exe atmfd.dll /save atmfd.dll.acl

icacls.exe atmfd.dll /grant Administrators:(F)

rename atmfd.dll x-atmfd.dll

2. 重启系统。


三、对于Windows 8.1 及更低版本操作系统还可通过以下操作禁用ATMFD(官方建议谨慎使用):

方法1:手动编辑注册表

1. 以管理员的身份运行regedit.exe。

2. 在“注册表编辑器”中,创建以下子项并将其 DWORD 值设置为 1:HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\DisableATMFD, DWORD = 1

3. 关闭“注册表编辑器”并重启系统。


方法2:使用脚本修改注册表

1. 创建一个包含以下文本并且名为ATMFD-disable.reg的文本文件:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"DisableATMFD"=dword:00000001

2. 运行regedit.exe。

3. 在注册表编辑器中,单击“文件”菜单,然后单击“导入”。

4. 选择步骤1中创建的ATMFD-disable.reg文件。( 注意 :如果文件未列于预期位置,请确保尚未自动对该文件给定.txt文件扩展名,或将对话框的文件扩展名参数更改为“所有文件”)。

5. 单击“打开”,然后单击“确定”,关闭注册表编辑器。


注:使用以上方法后依赖嵌入字体技术的应用程序将无法正确显示。禁用ATMFD.DLL可能导致某些使用OpenType字体的应用程序停止正常运行。Microsoft Windows 自身不会发布任何OpenType字体。但是,第三方应用程序可能会安装这些字体并且可能会受到此更改影响。 撤销该方法请参考微软官方通告中对应的系统进行操作。



END

作者:绿盟科技威胁对抗能力部

声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技

绿盟科技集团股份有限公司 (简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

绿盟科技集团股份有限公司于2014年1月29日起在深圳证券交易所创业板上市,股票简称:绿盟科技,股票代码:300369

绿盟科技安全情报 微信公众号
长按识别二维码,关注网络安全威胁信息