مایکروسافت اعلام کرد هکرها از آسیب‌پذیری موجود برای اکسپلویت سیستم عامل‌ها استفاده می‌کنند و سیستم قربانی را در کنترل خود در می‌آورند. مایکروسافت راهکار اولیه امنیتی را منتشر نموده است و به روز رسانی ماه خود وصله امنیتی را ارایه می‌دهد.

مایکروسافت اعلام کرد هکرها از آسیب‌پذیری موجود در atmfd.dll برای اکسپلویت سیستم عامل‌های ویندوز ۷ استفاده می‌کنند و سیستم قربانی را در کنترل خود در می‌آورند. در کمتر از ۷ روز مایکروسافت راهکار اولیه امنیتی را منتشر نموده است و در به روز رسانی ماه خود وصله امنیتی را ارایه می‌دهد.

آسیب‌پذیری:  N/A

درجه آسیب‌پذیری:

CVSS:3.0/AV:N/AC:L/Au:N/C:C/I:C/A:C

سیستم‌های آسیب‌پذیر:

Windows 10

Windows 7

Windows 8.1

Windows RT 8.1

Windows Server 2008

Windows Server 2012

Windows Server 2016

Windows Server 2019

توضیحات:

مرکز امنیتی ویندوز اعلام کرد هکرها با اکسپلویت از آسیب‌پذیری روز صفر ویندوز، کل سیستم‌ها را در اختیار می‌گیرند. این آسیب‌پذیری روز صفر در کتابخانه مدیریت Adobe (atmfd.dll) قرار دارد. این کتابخانه مایکروسافت برای پردازش فونت ها بصورتPostScript Type 1  در ویندوز استفاده می‌شود.

مایکروسافت اعلام کرد دو نوع حمله اجرای کد از راه دور (RCE) آسیب‌پذیری وجود دارد که به حمله کننده اجازه اجرای کد را روی سیستم کاربر می‌دهد. طبق گفته‌های مایکروسافت “چند روش برای اکسپلویت این آسیب‌پذیری وجود دارد به عنوان مثال کاربر یک سند مخرب را باز کند و یا آن را در قسمت Windows Preview  مشاهده نماید.” طیف توضیحات مایکروسافت حمله از طریق این آسیب‌پذیری محدود بوده و به هدف خاصی حمله می‌شود. حمله کننده بیشتر ویندوز ۷ را هدف قرار می‌دهد ولی نسخه‌های دیگر ویندوز هم می‌تواند آسیب‌پذیر باشد. در حال حاضر تمام نسخه‌های پشتیبانی شده توسط مایکروسافت شامل ویندوز و ویندوز سرور آسیب‌پذیر هستند ولی این آسیب‌پذیری روی ویندوز ۱۰ اثر کمتری دارد و به دلیل نبودن فایل atmfd.dll و اجرای فایل در AppContainer sandbox با سطح دسترسی پایین و محدود  است.

به‌روز رسانی امنیتی در حال حاضر وجود ندارد و طبق گفته مایکروسافت به‌روز رسانی برای این حفره امنیتی در تاریخ ۱۴ آوریل منتشر می‌شود. مایکروسافت یک سری دستور عمل قبل از انتشار به‌روز رسانی برای شرکت‌ها و کاربران خانگی انتشار داد که می‌توان با نبود به‌‌روز رسانی این محدودیت‌ها را برای جلوگیری از حمله روز صفر اجرا کرد. به دلیل تاثیر کم روی ویندوز ۱۰ اجرای این موارد و دستور عمل‌ها روی ویندوز ۱۰ ضروری نیست. دستور عمل‌ها شامل:

  1. از کار انداختن Preview Pane و Details Pane در Windows Explorer.
  2. از کار انداختن WebClient service.
  3. غیرفعال سازی کلید رجیستری ATMFD.
  4. تغییر نام فایل ATMFD.DLL.

منابع:

https://www.zdnet.com/article/microsoft-warns-of-windows-zero-day-exploited-in-the-wild/

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/adv200006