A Microsoft emitiu um aviso sobre duas novas vulnerabilidades na biblioteca do Adobe Type Manager. Além disso, de acordo com as informações, alguns cibercriminosos já os estão explorando em ataques direcionados.
Atualizado em 14 de Abril
A Microsoft emitiu um aviso sobre duas novas vulnerabilidades na biblioteca do Adobe Type Manager. Além disso, de acordo com as informações, alguns cibercriminosos já os estão explorando em ataques direcionados. No dia 14 de Abril, a Microsoft lançou atualizações de segurança específicas para essas vulnerabilidades.
O que é a biblioteca Adobe Type Manager Library?
Houve um tempo em que, para visualizar as fontes de propriedade da Adobe no Windows, era necessário instalar um software adicional: o Adobe Type Manager. Como isso não era muito confortável para os usuários finais, a Adobe finalmente abriu as especificações para seus formatos e a Microsoft incorporou o suporte a fontes em seus sistemas operacionais. Para isso, é usada a biblioteca do Adobe Adobe Type Manager.
Segundo a Microsoft, o problema está em como a biblioteca lida com fontes de um formato específico: fontes Adobe PostScript Type 1. Um invasor pode criar uma fonte PostScript tipo 1 de maneira a obter a capacidade de executar código arbitrário em um computador Windows. Existem vários vetores de ataque para explorar a vulnerabilidade: os invasores podem convencer a vítima a abrir um documento malicioso ou simplesmente acessá-lo pelo painel de pré-visualização (refere-se ao painel do sistema e não a uma função semelhante disponível no Microsoft Outlook).
Essa vulnerabilidade também pode ser explorada por invasores por meio de uma extensão HTTP chamada Web Distributed Authoring and Versioning (WebDAV), que permite aos usuários colaborarem em um documento.
A Microsoft sugere desabilitar o serviço WebClient, que permite usar esse recurso, observando que esse é o vetor de ataque remoto mais provável.
Quais sistemas são vulneráveis?
Esta vulnerabilidade está presente em 40 versões diferentes dos sistemas operacionais Windows 10, Windows 7, Windows 8.1, Windows Server 2008, Windows Server 2012, Windows Server 2016 e Windows Server 2019. O comunicado de segurança da Microsoft ADV200006 contém uma lista completa dos sistemas vulneráveis.
No entanto, a empresa explica que, nas versões compatíveis com o Windows 10, um ataque bem-sucedido permitirá que apenas códigos maliciosos sejam executados no contexto da sandbox do AppContainer com privilégios e recursos limitados.
Existe um patch?
No dia 14 de Abril, a Microsoft lançou atualizações de segurança específicas para essas vulnerabilidades.
O que fazer?
De nossa parte, nossas dicas são a utilização de uma solução de segurança confiável para proteger o e-mail (pois é o meio mais comum de enviar documentos maliciosos) e também uma solução de proteção de endpoints que pode interromper a atividade maliciosa, incluindo exploits. O Kaspersky Endpoint Security for Business advanced é eficiente nestas duas tarefas. Claro que o melhor seria não abrir documentos e anexos em e-mails, se você não tiver certeza de onde eles vieram.
Como ainda não há patches, a Microsoft sugere que você use os seguintes métodos alternativos:
- Desative as funcionalidades de pré-visualização e detalhes.
- Desative o serviço Webclient (que desativará o WebDAV)
- Desative a biblioteca ATMFD.DLL
Você encontrará instruções detalhadas sobre como fazer essas três coisas no Guia de Segurança da Microsoft. Vale ressaltar que a desativação do serviço Webclient fará com que as solicitações do WebDAV não sejam realizadas e, portanto, os aplicativos dependentes do WebDAV não funcionarão corretamente. O mesmo vale para ATMFD.DLL: os aplicativos que o utilizam como requisito não operarão de forma certa.