مایکروسافت اعلام کرد هکرها از آسیبپذیری موجود برای اکسپلویت سیستم عاملها استفاده میکنند و سیستم قربانی را در کنترل خود در میآورند. مایکروسافت راهکار اولیه امنیتی را منتشر نموده است و به روز رسانی ماه خود وصله امنیتی را ارایه میدهد.
مایکروسافت اعلام کرد هکرها از آسیبپذیری موجود در atmfd.dll برای اکسپلویت سیستم عاملهای ویندوز ۷ استفاده میکنند و سیستم قربانی را در کنترل خود در میآورند. در کمتر از ۷ روز مایکروسافت راهکار اولیه امنیتی را منتشر نموده است و در به روز رسانی ماه خود وصله امنیتی را ارایه میدهد.
آسیبپذیری: N/A
درجه آسیبپذیری:
CVSS:3.0/AV:N/AC:L/Au:N/C:C/I:C/A:C
سیستمهای آسیبپذیر:
Windows 10
Windows 7
Windows 8.1
Windows RT 8.1
Windows Server 2008
Windows Server 2012
Windows Server 2016
Windows Server 2019
توضیحات:
مرکز امنیتی ویندوز اعلام کرد هکرها با اکسپلویت از آسیبپذیری روز صفر ویندوز، کل سیستمها را در اختیار میگیرند. این آسیبپذیری روز صفر در کتابخانه مدیریت Adobe (atmfd.dll) قرار دارد. این کتابخانه مایکروسافت برای پردازش فونت ها بصورتPostScript Type 1 در ویندوز استفاده میشود.
مایکروسافت اعلام کرد دو نوع حمله اجرای کد از راه دور (RCE) آسیبپذیری وجود دارد که به حمله کننده اجازه اجرای کد را روی سیستم کاربر میدهد. طبق گفتههای مایکروسافت “چند روش برای اکسپلویت این آسیبپذیری وجود دارد به عنوان مثال کاربر یک سند مخرب را باز کند و یا آن را در قسمت Windows Preview مشاهده نماید.” طیف توضیحات مایکروسافت حمله از طریق این آسیبپذیری محدود بوده و به هدف خاصی حمله میشود. حمله کننده بیشتر ویندوز ۷ را هدف قرار میدهد ولی نسخههای دیگر ویندوز هم میتواند آسیبپذیر باشد. در حال حاضر تمام نسخههای پشتیبانی شده توسط مایکروسافت شامل ویندوز و ویندوز سرور آسیبپذیر هستند ولی این آسیبپذیری روی ویندوز ۱۰ اثر کمتری دارد و به دلیل نبودن فایل atmfd.dll و اجرای فایل در AppContainer sandbox با سطح دسترسی پایین و محدود است.
بهروز رسانی امنیتی در حال حاضر وجود ندارد و طبق گفته مایکروسافت بهروز رسانی برای این حفره امنیتی در تاریخ ۱۴ آوریل منتشر میشود. مایکروسافت یک سری دستور عمل قبل از انتشار بهروز رسانی برای شرکتها و کاربران خانگی انتشار داد که میتوان با نبود بهروز رسانی این محدودیتها را برای جلوگیری از حمله روز صفر اجرا کرد. به دلیل تاثیر کم روی ویندوز ۱۰ اجرای این موارد و دستور عملها روی ویندوز ۱۰ ضروری نیست. دستور عملها شامل:
- از کار انداختن Preview Pane و Details Pane در Windows Explorer.
- از کار انداختن WebClient service.
- غیرفعال سازی کلید رجیستری ATMFD.
- تغییر نام فایل ATMFD.DLL.
منابع:
https://www.zdnet.com/article/microsoft-warns-of-windows-zero-day-exploited-in-the-wild/
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/adv200006