Serveur d'impression

Découvrez, hiérarchisez et corrigez automatiquement la vulnérabilité d'exécution de code à distance de la bibliothèque Adobe Type Manager de Windows (ADV200006) à l'aide de Qualys VMDR – Bien choisir son serveur d impression

Le 26 avril 2020 - 7 minutes de lecture

Le 23 mars, Microsoft a publié l'avis Zero Day ADV200006 pour corriger deux vulnérabilités critiques d'exécution de code à distance dans la bibliothèque Adobe Type Manager qui affectent plusieurs versions de Windows et Windows Server.

Les vulnérabilités existent dans la façon dont Windows analyse Type ouvert polices. Par exemple, un attaquant pourrait convaincre un utilisateur d'ouvrir un document spécialement conçu ou de le visualiser dans le volet Aperçu de Windows. Le volet Aperçu de Windows est utilisé par l'application de gestion de fichiers de l'Explorateur Windows (appelé Explorateur de fichiers dans Windows 10) pour prévisualiser les images, les vidéos et d'autres contenus. Une exploitation réussie obligerait un attaquant à convaincre un utilisateur d'ouvrir un document malveillant ou de visiter une page malveillante exploitant le WebClient service qui écoute normalement WebDAV partages de fichiers.

Qualys a publié un article de blog plus tôt sur la façon d'identifier l'ADV200006 dans votre environnement:
Microsoft a publié un avis hors bande – Vulnérabilité d'exécution de code à distance dans la bibliothèque Adobe Type Manager de Windows (ADV200006)

Nous décrivons ici comment le résoudre avec Qualys VMDR®.

Identifier les actifs, Découvrir, Prioriser et corriger à l'aide de Qualys VMDR®

Qualys VMDR, gestion, détection et réponse des vulnérabilités tout-en-un permet:

  • Identification des hôtes connus et inconnus exécutant des systèmes Windows vulnérables avec Adobe Type Manager Library
  • Automunedétection tique de vulnérabilités et erreurs de configuration pour les systèmes Windows
  • Prioritization des menaces en fonction du risque
  • Intégré pièce déploiement

jedentification de Windows Aensembles avec Bibliothèque Adobe Type Manager ou service WebClient en cours d'exécution

La première étape dans la gestion des vulnérabilités et la réduction des risques est identification des actifs. VMDR permet facile identification de les fenêtres hôtes avec Bibliothèque Adobe Type Manager ou service WebClient en cours d'exécution

operatingSystem.category1: `Windows`

Vous pouvez en outre identifier les systèmes qui exécutent le service «WebClient» à l'aide d'une simple requête:

operatingSystem.category1: `Windows` et services.name:` ​​WebClient`

Une fois les hôtes identifiés, ils peuvent être regroupés ensemble avec un "tag dynamique", disons – ADV20006. Cela permet de regrouper automatiquement les hôtes Windows existants ADV200006 ainsi que tout nouvel hôte tourne avec cette vulnérabilité. Le balisage rend ces actifs groupés disponibles pour les requêtes, les rapports et la gestion dans l'ensemble de Qualys Cloud Platform.

Découvrir Bibliothèque Adobe Type Manager Vulnérabilités RCE et erreurs de configuration

Maintenant que les fenêtres hébergent avec ADV200006 sont identifiés, vous voulez détecter lesquels de ces actifs ont signalé ceci vulnérabilité. VMDR détecte automatiquement de nouvelles vulnérabilités comme ADV200006 basé sur la base de connaissances toujours mise à jour.

Vous pouvez see tous vos hôtes impactés pour cette vulnérabilité étiquetée avec «ADV200006"Élément d'inventaire dans vue des vulnérabilités en utilisant Requête QQL:

vulnérabilités.vulnerabilité.qid: 91617

Cela renverra une liste de tous les hôtes impactés.

VMDR vous permet également de rester au-dessus de lase menaces de manière proactive via le «flux en direct» fourni pour la hiérarchisation des menaces. Avec le «flux en direct» mis à jour pour tous les risques émergents à haut et moyen, vous pouvez voir clairement les hôtes impactés contre les menaces.

Gestion de la configuration ajoute du contexte à la gestion globale des vulnérabilités

Pour réduire globalement le risque de sécurité, il est important de prendre également en charge les erreurs de configuration des systèmes Windows. Qualys VMDR montre votre système de fenêtres mauvaise configuration posture en contexte avec votre posture de vulnérabilité, vous permettant de voir quels hôtes présentent la vulnérabilité RCE de la bibliothèque Adobe Type Manager.
Avec Conformité à la politique Qualys module de VMDR, vous pouvez automatiquement découvrir l'état du service «WebClient» et s'ils ont des erreurs de configuration dans le contexte de Vulnérabilité ADV200006.

  • Qualys ID de configuration – 14916 «État des services Windows» serait évalué par rapport à tous les systèmes Windows pour lesquels le service WebClient s'exécute sur l'hôte, comme indiqué ci-dessous –

  • Qualys ID de configuration – 17616 «État de l'existence du fichier« atmfd.dll »ou clé de registre« DisableATMFD »dans le système Microsoft Windows» serait évalué par rapport à tous les systèmes Windows concernés.
      • Windows 7/8 / 8.1, Windows 2008 Server, Windows 2012 Server, Windows Server 2012 R2 – Le contrôle vérifie si atmfd.dll existe ou "DisableATMFD" est défini sur 1 sous la clé HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows
      • Pour Windows 10, Windows 2016 Server version <= 1607 – Contrôlez si l'existence de atmfd.dll existe comme indiqué ci-dessous –

Basé sur le risque Prioritization de ADV200006 Vulnerability

Maintenant que vous avez identifié les hôtes avec le contexte des vulnérabilités et des erreurs de configuration détectées, vous voudrez peut-être prioritize votre correction en fonction du risque, car chaque actif vulnérable peut ne pas présenter le même risque.

Risque élevé:

  • Hosts avec le service WebClient en cours d'exécution devrait être prioritaire. Après avoir appliqué cette solution de contournement, il est toujours possible pour les attaquants distants qui exploitent avec succès cette vulnérabilité de faire exécuter des programmes situés sur l'ordinateur des utilisateurs ciblés ou sur le réseau local (LAN), mais les utilisateurs seront invités à confirmer avant d'ouvrir des programmes arbitraires à partir de l'Internet.
  • Les hôtes qui ont un fichier «atmfd.dll» doivent être priorisés et peuvent être identifiés via QID 91617 ou erreurs de configuration (Le contrôle CID 17616 échoue) sont détectée comme indiqué ci-dessous-

Risque moyen:

  • Hôtes avec «atmfd.dll» présent, cependant, le contrôle CID 17616 – «État de l'existence du fichier« atmfd.dll »ou clé de registre« DisableATMFD »dans le système Microsoft Windows» est détecté aussi durci comme indiqué ci-dessous –

Solution de contournement:

Bien que les correctifs ne soient pas encore disponibles, Microsoft a fourni des solutions de contournement pour sécuriser les systèmes vulnérables:

  1. Désactiver le volet de visualisation et le volet d'informations dans l'Explorateur Windows (WE)
  2. Désactivez le service WebClient
  3. Renommez ATMFD.DLL ou désactivez la clé de registre pour Windows 8.1 et versions antérieures

Les deux premières solutions de contournement offrent moins de sécurité contre la vulnérabilité, car l'attaque pourrait toujours être menée dans des conditions autorisées. Dans le premier cas, un utilisateur local authentifié peut toujours exploiter cette vulnérabilité en exécutant un programme spécialement conçu. Dans le second cas également, il est toujours possible pour des attaquants distants d'exécuter des programmes situés sur l'ordinateur de l'utilisateur ciblé ou sur le LAN. Cependant, les utilisateurs seront invités à confirmer avant d'ouvrir des programmes arbitraires à partir d'Internet.

Lors de l'application de la troisième solution de contournement, Microsoft indique que la désactivation de la clé de Registre peut entraîner le dysfonctionnement de certaines applications, car les polices OpenType ne sont pas des applications natives Windows et sont installées via des applications tierces. Cette atténuation semble être la solution de contournement la plus efficace pour cette vulnérabilité, car elle empêche le code vulnérable d'être utilisé par Windows. Parce que les versions de Windows 10 prises en charge n'utilisent pas ATMFD.DLL, cette atténuation n'est pas applicable.

Commencez maintenant

Étoilet votre Essai Qualys VMDR pour identifier automatiquement, détecter et corriger les vulnérabilités critiques d'exécution de code à distance dans la bibliothèque Windows Adobe Type Manager (ADV200006)

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.