/ Economia e lavoro

Che tempo fa

Cerca nel web

Economia e lavoro | 01 aprile 2020, 07:45

Vulnerabilità critiche in tutte le versioni di Windows nella visualizzazione dei caratteri e riquadro di anteprima

Sono state scoperte due vulnerabilità critiche 0-day, quelle cioè non ancora divulgate e quindi ancora senza patch correttive, sulla libreria di tutte le versioni di Windows che si occupa della riproduzione dei font PostScript Type 1 (OpenType) che permetterebbero ad un attaccante remoto l’esecuzione di codice arbitrario con privilegi elevati sul sistema vulnerabile e la possibilità di prenderne anche il controllo.

Vulnerabilità critiche in tutte le versioni di Windows nella visualizzazione dei caratteri e riquadro di anteprima

In un periodo tragico, come quello che stiamo vivendo, dove l’attenzione al Coronavirus va tenuta alta sia sul lato delle infezioni e delle restrizioni che ci troviamo a vivere sia sul lato informatico con le molte minacce spam, phishing, malware che sfruttano le paure e la necessità di informazioni, la guardia non va comunque abbassata su quelle che sono le minacce gravi e tradizionali del mondo cyber.

A ricordarcelo è il Security Advisory ADV200006 di Microsoft il quale informa di vari attacchi mirati avvenuti nel mondo a Windows 7 (il cui supporto è terminato a metà gennaio) che sfruttano la libreria di Adobe Type Manager (atmfd.dll) che gestisce i caratteri PostScript e informa anche che le versioni di Windows vulnerabili sono tutte dalla 7 alla 10 e Server dalla 2008 alla 2019 e non sono esclusi pertanto ulteriori attacchi sulle altre piattaforme. Esistono diversi modi in cui un criminale potrebbe sfruttare queste vulnerabilità, ad esempio convincendo un utente ad aprire un documento appositamente predisposto (contenente un font di tipo PostScript) o visualizzarlo nel riquadro di anteprima di Windows. Non possono essere sfruttate, invece, attraverso Internet Explorer o il riquadro di anteprima di Outlook.

     

La minaccia è di lieve entità per i sistemi operativi Windows 10 in quanto il codice viene eseguito con privilegi limitati in una specifica sandbox. Non è necessario pertanto che gli amministratori di tali sistemi eseguano le azioni di mitigazioni di seguito suggerite.

Microsoft sta lavorando ad una soluzione per questa vulnerabilità e si presume che potrà inserire le apposite patch risolutive nei prossimi aggiornamenti che avverranno martedì 14 aprile. È noto infatti che Microsoft rilascia gli aggiornamenti il secondo martedì di ogni mese.

Nel frattempo però suggerisce alcune azioni utili a mitigare il problema. Per maggiori dettagli, l’impatto delle azioni di mitigazione e le operazioni di ripristino consultare l’Advisory di Microsoft.

     

  1. Disabilitare Riquadro di Anteprima e Riquadro dettagli in Windows Explorer (Esplora File): La disabilitazione dei pannelli Anteprima e Dettagli in Esplora risorse impedisce la visualizzazione automatica dei caratteri OTF in Esplora risorse.


Per Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2 e Windows 8.1

  1. Aprire Esplora risorse, cliccare su Organizza e quindi Layout;

  2. Deselezionare entrambe le opzioni Dettagli e Anteprima;

  3. Cliccare su Organizza e quindi su Cartella e Opzioni di ricerca;

  4. Cliccare la scheda Visualizza;

  5. In Impostazioni avanzate selezionare Mostra sempre icone mai l’anteprima

  6. Chiudere tutte le istanze aperte di Esplora risorse


Per Windows 10

  1. Aprire Esplora risorse, cliccare su Visualizza;

  2. Deselezionare entrambe le opzioni Dettagli e Anteprima;

  3. Cliccare su Opzioni e quindi su Cambia Cartella e Opzioni di ricerca;

  4. Cliccare la scheda Visualizza;

  5. In Impostazioni avanzate selezionare Mostra sempre icone mai l’anteprima

  6. Chiudere tutte le istanze aperte di Esplora risorse


  1. Disabilitare il servizio WebClient (servizio client WebDAV): La disabilitazione del servizio WebClient blocca il vettore di attacco remoto più probabile. Le condivisioni e le richieste WebDAV saranno però inaccessibili dai computer client.


  1. Cliccare su Start, quindi su Esegui e digitare Services.msc e premere Ok;

  2. Tasto destro del mouse sul servizio WebClient e selezionare Proprietà;

  3. Cliccare su Stop se in esecuzione e su tipo avvio impostare Disabilitato;

  4. Cliccare su Ok e quindi uscire dall’applicazione di gestione;


  1. Rinominare/disabilitare ATMFD.DLL (non applicabile in windows 10 dalla versione 1709). La disabilitazione di ATMFD.DLL potrebbe impedire il corretto funzionamento di alcune applicazioni che utilizzano caratteri OpenType. Microsoft Windows non usa alcun carattere OpenType, tuttavia, le applicazioni di terze parti potrebbero installarle e potrebbero essere interessate da questa modifica.


Per sistemi a 32 bit eseguire i seguenti comandi in un prompt dei comandi con diritti Amministrativi, quindi riavviare il sistema:

cd "%windir%\system32"

takeown.exe /f atmfd.dll

icacls.exe atmfd.dll /save atmfd.dll.acl

icacls.exe atmfd.dll /grant Administrators:(F)

rename atmfd.dll x-atmfd.dll


Per sistemi a 64 bit eseguire i seguenti comandi in un prompt dei comandi con diritti Amministrativi, quindi riavviare il sistema:

cd "%windir%\system32"

takeown.exe /f atmfd.dll

icacls.exe atmfd.dll /save atmfd.dll.acl

icacls.exe atmfd.dll /grant Administrators:(F)

rename atmfd.dll x-atmfd.dll

cd "%windir%\syswow64"

takeown.exe /f atmfd.dll

icacls.exe atmfd.dll /save atmfd.dll.acl

icacls.exe atmfd.dll /grant Administrators:(F)

rename atmfd.dll x-atmfd.dll


  1. Ovviamente anche l’upgrade a Windows 10, per i sistemi precedenti, consigliato in ogni caso per motivi di sicurezza, mitigherebbe la vulnerabilità come già illustrato.


Per completezza di informazione, ma sconsigliamo caldamente di installare patch non ufficiali, riportiamo che in attesa che vengano rilasciate le patch da Microsoft il progetto 0patch ha rilasciato delle “patch non ufficiali” che risolverebbero il problema dei sistemi operativi Windows 7 e Windows Server 2008 R2 senza ESU (Extended Security Updates) e rilascerà inoltre patch non ufficiali per Windows 7 e Server 2008 R2 con ESU, Windows 8.1 e Windows Server 2012.

Con queste patch quando windows si troverà di fronte a qualsiasi carattere PostScript di tipo 1 non lo caricherà. Di seguito il video di come agiscono le patch non ufficiali del progetto 0patch.

https://www.youtube.com/watch?v=VmL-C7Tqpac&feature=emb_logo

Considerata la criticità di queste vulnerabilità consigliamo, dove possibile, di eseguire le azioni di mitigazione che Microsoft propone in attesa che vengano rilasciate i necessari aggiornamenti risolutivi.

Per maggiori informazioni, contattare:

3C Informatica Srl – Corso Isoardi, 60 – 12038 Savigliano (CN)

Telefono +39 0172-22306

www.gruppo3c.com  info@gruppo3c.com

Twitter: https://twitter.com/3cSoc


C.S.

MoreVideo: le immagini della giornata

Ti potrebbero interessare anche:

Prima Pagina|Archivio|Redazione|Invia un Comunicato Stampa|Pubblicità|Scrivi al Direttore|Premium