company_banner

В Windows 7-10 активно эксплуатируется 0day с удалённым исполнением кода. Патча нет


    Обработка шрифтов OpenType (OTF) происходит на уровне ядра Windows

    Во всех версиях Windows (7, 8.1, 10, Server 2008-2019) обнаружена критическая уязвимость, допускающая удалённое исполнение кода в полностью пропатченной системе. Microsoft вчера опубликовала предупреждение о безопасности ADV200006. Об уязвимости приходится сообщать до выпуска патча, потому что она уже активно эксплуатируется злоумышленниками. Пока её заметили только в «ограниченных целевых атаках», пишет Microsoft.

    TL;DR:

    • Злоумышленники могут воспользоваться уязвимостью, встроив в документ шрифт Type 1 и убедив пользователей открыть его.
    • Уязвимость скрывается в библиотеке Windows Adobe Type Manager ATMFD.DLL (в последних версиях ATMLIB.DLL), которая работает на уровне ядра ещё со времён NT (далеко не первый баг в этой библиотеке).
    • Отключение службы Windows WebClient блокирует то, что Microsoft считает наиболее вероятным вектором удалённой атаки, а именно атаку через клиентскую службу Web Distributed Authoring and Versioning (WebDAV).
    • Локальные аутентифицированные пользователи могут запускать вредоносные программы с эксплуатацией уязвимости (эскалация привилегий).

    В предупреждении Microsoft сказано, что «в поддерживаемых версиях Windows 10 успешная атака может привести только к выполнению кода в контексте песочницы AppContainer с ограниченными привилегиями и возможностями».

    Microsoft не сообщает, насколько успешно работают эксплоиты в упомянутых целевых атаках и что конкретно они делают, запускают ли полезную нагрузку или просто пытаются это сделать. Часто встроенная защита в Windows не позволяет эксплоитам работать так, как задумано. В сообщении также не упоминается о количестве и географическом расположении атак.

    Пока патч не вышел, Microsoft предлагает использовать один или несколько обходных путей:

    1. Отключить области предварительного просмотра в Проводнике Windows. В русскоязычной версии они называются «Область просмотра» и «Область сведений» (Preview Pane и Details Pane).



      Это не позволит проводнику автоматически отображать шрифты Type 1. Хотя такой способ предотвратит некоторые типы атак, но не помешает локальному аутентифицированному пользователю запустить специально созданную программу с эксплоитом.

    2. Отключить службу WebClient (Веб-клиент). Данная служба позволяет приложениям Windows создавать, сохранять и изменять файлы, находящиеся на серверах WebDAV, и обычно её можно безболезненно отключить.



      Это наиболее вероятный вектор атаки, по оценке Microsoft. Опять же, отключение службы не помешает локально запустить эксплоит.

    3. Переименовать ATMFD.DLL или, как вариант, исключить файл из реестра.

      Скрипт по переименованию файла (измените название на ATMLIB.DLL в Windows 10):

      cd "%windir%\system32"
      takeown.exe /f atmfd.dll
      icacls.exe atmfd.dll /save atmfd.dll.acl
      icacls.exe atmfd.dll /grant Administrators:(F)
      rename atmfd.dll x-atmfd.dll
      cd "%windir%\syswow64"
      takeown.exe /f atmfd.dll
      icacls.exe atmfd.dll /save atmfd.dll.acl
      icacls.exe atmfd.dll /grant Administrators:(F)
      rename atmfd.dll x-atmfd.dll

    Переименование ATMFD.DLL вызовет проблемы в приложениях, которые используют встроенные шрифты OpenType, так что некоторые приложения перестанут работать. Microsoft также предупреждает: ошибки при внесении изменений в реестр чреваты серьёзными проблемами, которые могут потребовать полной переустановки Windows.

    Обычно фраза «ограниченные целевые атаки» означает операции по государственному заказу той или иной страны. Такие атаки зачастую ограничены не более чем десятком целей, что затрудняет их обнаружение. Но теперь после разглашения информации есть вероятность массовой эксплуатации уязвимости, так что есть смысл предусмотреть защитные меры, пока не вышел патч.

    Библиотека ATMFD.DLL является частью ядра Windows со времён NT. Такое решение было принято, вероятно, для повышения производительности и улучшения стабильности по сравнению «адом библиотек» в Windows 3.11, которая постоянно вылетала с ошибками.

    В Windows Vista графический стек начали постепенно выносить из ядра. Первым вынесли GDI, из-за чего в версии Windows Vista пропало аппаратное ускорение GDI. В Windows 7 аппаратное ускорение вернули, что потребовало частичного возвращения GDI в ядро. По причинам безопасности этот факт держался в секрете, но о нём стало известно после появления эксплоитов GDI.

    Судя по всему, разработчики Windows понимают необходимость выноса графического стека из ядра. Процесс идёт в правильном направлении, хотя и медленно.
    ITSumma
    Собираем безумных людей и вместе спасаем интернет

    Комментарии 45

      0
      В предупреждении Microsoft сказано, что «в поддерживаемых версиях Windows 10 успешная атака может привести только к выполнению кода в контексте песочницы AppContainer с ограниченными привилегиями и возможностями».


      т.е. можно не париться(в случае десятки)?
        +1
        я подозреваю, что пошифровать документы оно оттуда всё равно сможет, а большего и не требуется.
          0
          так оно же с меткой AppContainer(это еще используется для UWP).

          доступа не должно же быть ко всей файловой системе?
            0
            это если нет эксплойтов, позволяющих совершить выход из песочницы
        0

        спасибо за примеры решений до выхода патча. интересно, а почему нельзя быстро выпустить микропатч, который это сделает сам?

          0
          Для Win7 патча и не будет?:(
            +1
            Конечно будет. Платная поддержка ещё три года, апдейты ежемесячно выходят, поставить их может любой достаточно сильно желающий.
              +1
              Вышли обновления KB4550964 (Monthly Rollup) и KB4550965 (Security-only update), в них содержится указанный обновленный atmfd.dll, хотя номер версии как был 5.1.2.254, так и остался.
              0
              Если патча не сделают, то это будет выглядеть как будто компания в очередной раз создает повод пользователям перейти на W10. Во всяком случае для так оно выглядит для параноиков вроде меня.
              –6
              [offtop]Хм… Вот и эксплойты уже превратились в «эксплоиты». Кажется, нас скоро ждут неологизмы «моика», «обоима», «с тобои»…[/offtop]
                +2
                Но как писали войн вместо воин, так и будут.
                  0
                  Уже довольно давно превратились...
                    +1
                    И ещё «биткоин», «героин», «коитус» да «поиск»? :) Эгоист…
                      –4
                      Вот как раз «биткойн» тоже должен писаться через «й», согласно правилам транскрипции. (В отличие от «андроида» и прочих "-оидов", которые в последнее время стало модно писать через «й».)
                        0
                        А чем андроид хуже? Я в правилах в википедии вижу однозначное транслитерирование «oi» в «ой». Без вариантов.
                          +4
                          Тем, что эти правила транслитерации — для английских слов. А суффикс -oid — греческого происхождения, он транслитерируется как «оид». Сфероид, гиперболоид (инженера Гарина), монголоид, планетоид, андроид…
                          +1
                          Лично мне «биткойн» и «эксплойт» глаз режет не меньше, чем «андройд».
                            +1
                            У меня в семье всегда говорили «свекла́», я так и привык с детства. Когда я узнал, что правильно «свёкла», для меня это было шоком; «правильное» слово выглядело совершенно уродливым и каким-то неадекватным. Однако же заставил себя переучиться.
                              +1

                              Результат убивания "ё", получается. Тоже всю жизнь моё окружение ставила ударение на последнюю гласную.

                                0
                                Точно не знаю, как такая форма пошла в жизнь, но да, вполне возможно, что из-за этого.
                                0
                                Правильно «буряк» :)
                                  0
                                  Да, так тоже у нас часто говорят (только через «а» — «бурак»).
                        0
                        ATMLIB.DLL

                        А это не та, какую патчат для «кряка» Adobe CC?
                          0
                          нет, та слегка по-другому пишется и находится в совсем другой папке
                          0
                          Удаление atmfd.dll для русифицированных версий Windows:
                          c:
                          cd "%windir%\system32"
                          takeown.exe /f atmfd.dll
                          icacls.exe atmfd.dll /save atmfd.dll.acl
                          icacls.exe atmfd.dll /grant Ђ¤¬Ё­Ёбва в®ал:(F)
                          rename atmfd.dll x-atmfd.dll
                          cd "%windir%\syswow64"
                          takeown.exe /f atmfd.dll
                          icacls.exe atmfd.dll /save atmfd.dll.acl
                          icacls.exe atmfd.dll /grant Ђ¤¬Ё­Ёбва в®ал:(F)
                          rename atmfd.dll x-atmfd.dll
                          

                          Здесь "Ђ¤¬Ё­Ёбва в®ал" — это «Администраторы» в кодировке DOS.
                            0
                            Проверяли? Ругается на пробел (а маленькое в ср866)…
                            0
                            В оригинале M$ еще предлагают включить показ иконок вместо превьюшек в параметрах проводника
                              +2
                              ATMFD.DLL (в последних версиях ATMLIB.DLL), которая работает на уровне ядра ещё со времён NT

                              Работала. Да, ATMFD это драйвер режима ядра, но в Windows 10 его уже нет. Его замена — ATMLIB — обычная dll пользовательского режима. Эту часть функциональности они уже вынесли из ядра.


                              В результате мы получаем исполнение кода с правами приложения, в котором будет открыт вредоносный документ. Поскольку пользуются этой библиотекой в основном UWP-приложения, которые работают в AppContainer, — мы имеем исполнение произвольного кода уже в песочнице. И, в отличие от Контроля Учётных Записей, AppContainer признаётся Microsoft'ом за границу безопасности. И, для тех кто не знает, AppContainer реализует модель прав аналогичную андроиду: без явного разрешения не будет доступа ни к файлам, ни к интернету, ни к микрофону.


                              Пользователи Windows 10 могут расслабиться и спокойно ждать патча.

                                0
                                Да, Windows 10 безопаснее. К сожалению, пользователи редко понимают это (потому что вся изоляция и защита от эксплоитов — под капотом) и продолжают считать, что «раньше было лучше», «позасовывают всё в контейнеры, мне 4 гигабайт памяти не хватает» и «зачем браузеру столько потоков, натыкаю твиков из интернетов, чтобы был один поток, как во времена моей родненькой XP (с придыханием)». Даже от эксплуатации некоторых уязвимостей в драйверах 10-ка может защитить, если включить защиту целостности кода.
                                  +3
                                  Поверьте, люди не хотят пользоваться десяткой вовсе не из-за требований к памяти или там каких-то потоков в браузере.
                                    +1
                                    Винду 7 можно использовать на 2 ГБ памяти, но это если не запускать Хром и не качать обновы. Если качать, то скажем 64-битной лучше «больше 4 ГБ» (скажем тратить 5 будет без любого браузера).
                                    Десятка при попытке скачать крупный апдейт (типа 1809) — тоже не меньше 4 ГБ нужно.
                                    А на XP вполне можно было играть на 1 ГБ памяти во что-то не очень новое или скажем на 2 ГБ в «консольную» игру 2020 года. Но то игра совсем консольная, она где-то 300 МБ видеопамяти тратит в 1080p.
                                      0
                                      Поверьте, память по-прежнему остаётся дефицитным ресурсом, и иметь 4 гигабайта памяти — удача.
                                        0
                                        На 2 ГБ с 32-битной Виндой вполне можно жить (7 или 10). Но наверное не любителям открывать 15 вкладок в Хроме.
                                        Или вообще попробовать Ubuntu на таком объеме. А если совсем рискованные люди — Fedora Workstation.
                                          0
                                          На Ubuntu не удаётся работать с мультимедиа.
                                            0
                                            Честно — не пробовал. Вы имеете в виду именно работать с музыкой/видео или воспроизводить?
                                            А что удача — согласен. Если совсем плохо — находим в комп 2 ГБ оперативки и ставим из образа Win 7 x86.
                                              0
                                              Распознавание текстов, подавление шумов и щелчков и компрессия звукозаписей, ретуширование и реставрация фото-изображений.

                                              Увы, сколько я ни брожу по улицам, нигде не удаётся найти 2 гигабайта оперативки. Только за деньги :-(.
                                                0
                                                Находим в коробочке с памятью. Но это я имею в виду на работе. Причем, в данном случая мой отдел не имеет отношения к закупке комплектующих или готовых компов (тендеры, спецификации к ним и т.д.). На нас свалили функцию «найти комп/монитор/клаву/мышку на складе» и «налить образ, ввести в домен».
                                                Но в данном «АО с большей долей государства» (если я ничего не напутал) по идее 100% компов сотрудников на Винде. Если конечно человек не знает пароль на BIOS и не имеет желания установить себе любую ОС из скачанного дома образа.
                                                  0
                                                  Именно на работе нет никакой коробочки с памятью, отсюда и трудности.
                                      0

                                      А какие не UWP приложения ее используют?

                                        0

                                        Но ведь это какое-то полезное приложение, а не helloworld, поэтому пользователь давно разрешил и файлы и инет.

                                          0

                                          В этом плане, может быть, там как в макоси для приложений из стора уже давно сделано — пока не выделишь в окне открытия конкретную папку или файл, доступа нет, как только сделал — есть, но только в конкретные файлы.

                                            0

                                            Да, именно так. Откройте свойства любого файла внути папки Документы, во вкладке Безопасность будет список тех, кому разрешён доступ. Так вот, там не будет ничего, что разрешает даже читать эти файлы изнутри AppContainer'а. Как же программы из Microsoft Store могут открывать и редактировать документы? Ответ — им для этого должен помочь специальный процесс, называемый брокером, который эти права имеет. Именно он показывает диалоги открытия/сохранения файлов, и, соответсвенно, требует участия пользователя.

                                        +1
                                        А я всегда продажникам говорил — этот пред просмотрт — это зло! Но не кто не верил :-)

                                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                        Самое читаемое