Serveur d'impression

Microsoft a publié un avis hors bande – Vulnérabilité d'exécution de code à distance dans la bibliothèque Adobe Type Manager de Windows (ADV200006) – Serveur d’impression

Le 30 avril 2020 - 6 minutes de lecture

Aujourd'hui, Microsoft a publié un avis de sécurité hors bande ADV200006 pour corriger deux vulnérabilités critiques d'exécution de code à distance dans la bibliothèque Adobe Type Manager. Microsoft a également connaissance d'attaques ciblées limitées qui tentent de tirer parti de cette vulnérabilité.

La vulnérabilité

La bibliothèque Microsoft Windows Adobe Type Manager est affectée par deux vulnérabilités d'exécution de code à distance car elle ne gère pas correctement une police multimaître spécialement conçue (format PostScript Adobe Type 1). Une exploitation réussie nécessiterait un attaquant distant pour convaincre un utilisateur d'ouvrir un document spécialement conçu conduisant à une corruption de mémoire et à l'exécution de code arbitraire sur le système. Cela peut entraîner un compromis complet du système vulnérable.

Systèmes concernés

Tous les systèmes d'exploitation Windows et Windows Server pris en charge sont affectés.
Windows 7, 8.1, RT 8.1, 10, Windows Server 2008, 2008 R2, 2012, 2012 R2, 2016, 2019

Détection de l'ADV200006 avec Qualys Vulnerability Management

La meilleure méthode pour identifier les hôtes vulnérables qui n'ont pas de solution de contournement est via l'agent Cloud Qualys ou via l'analyse authentifiée Qualys. Qualys a publié le QID 91617 pour Qualys Vulnerability Management qui est inclus dans la version de signature VULNSIGS-2.4.849-4. Les agents cloud recevront automatiquement ce nouveau QID dans le cadre de la version 2.4.849.4-3 du manifeste.

QID 91617: Vulnérabilité d'exécution de code à distance dans la bibliothèque Adobe Type Manager de Microsoft Windows (ADV200006) (Zero Day)

Vous pouvez rechercher cela dans VM Dashboard à l'aide de la requête QQL suivante:

vulnérabilités.vulnerabilité.qid: 91617

Cela renverra une liste de tous les hôtes impactés.

Solution de contournement:

Bien que les correctifs pour ces vulnérabilités ne soient pas disponibles, Microsoft a fourni des solutions de contournement pour sécuriser les systèmes vulnérables:

  1. Désactiver le volet de visualisation et le volet d'informations dans l'Explorateur Windows (WE)
  2. Désactivez le service WebClient
  3. Renommez ATMFD.DLL ou désactivez la clé de registre pour Windows 8.1 et versions antérieures

Les deux premières solutions de contournement offrent moins de sécurité contre la vulnérabilité, car l'attaque pourrait toujours être menée dans des conditions autorisées. Dans le premier cas, un utilisateur local authentifié peut toujours exploiter cette vulnérabilité en exécutant un programme spécialement conçu. Dans le second cas également, il est toujours possible pour des attaquants distants d'exécuter des programmes situés sur l'ordinateur de l'utilisateur ciblé ou sur le LAN. Cependant, les utilisateurs seront invités à confirmer avant d'ouvrir des programmes arbitraires à partir d'Internet.

Lors de l'application d'une troisième solution de contournement, Microsoft indique que la désactivation de la clé de registre peut entraîner le dysfonctionnement de certaines applications, car les polices OpenType ne sont pas des applications natives Windows et sont installées via des applications tierces.

Désactiver le volet de visualisation et le volet d'informations dans l'Explorateur Windows (WE)

    • La désactivation des volets Aperçu et Détails dans WE empêche l'affichage automatique des polices OTF dans WE. Bien que cela empêche l'affichage de fichiers malveillants dans WE, cela n'empêche pas un utilisateur local authentifié d'exécuter un programme spécialement conçu pour exploiter cette vulnérabilité. Pour désactiver ces volets dans Windows 8.1 et avant, procédez comme suit:

Ouvrez WE, cliquez sur Organiser, puis sur Disposition.

  • Désactivez les options de menu du volet Détails et du volet Aperçu.
  • Cliquez sur Organiser, puis sur Options de dossier et de recherche.
  • Cliquez sur l'onglet Affichage.
  • Sous Paramètres avancés, cochez la case Toujours afficher les icônes, jamais les miniatures.
  • Fermez toutes les instances ouvertes de WE pour que la modification prenne effet.

Désactivez le service WebClient

La désactivation du service WebClient permet de protéger les systèmes affectés contre les tentatives d'exploitation de cette vulnérabilité en bloquant le vecteur d'attaque à distance le plus probable via le service client WebDAV.Il est toujours possible pour les attaquants distants qui exploitent cette vulnérabilité avec succès de faire exécuter des programmes situés sur le l'ordinateur de l'utilisateur ciblé ou le réseau local, mais les utilisateurs seront invités à confirmer.

Pour désactiver le service WebClient, procédez comme suit:

  • Cliquez sur Démarrer, cliquez sur Exécuter, tapez Services.msc et cliquez sur OK.
  • Cliquez avec le bouton droit sur le service WebClient et sélectionnez Propriétés.
  • Modifiez le type de démarrage sur désactivé. Si le service est en cours d'exécution, cliquez sur Arrêter.
  • Cliquez sur OK et quittez l'application de gestion.

Renommez ATMFD.DLL:

  • Entrez les commandes suivantes à une invite de commandes d'administration:
    • cd «% windir% system32»
    • takeown.exe / f atmfd.dll
    • icacls.exe atmfd.dll / save atmfd.dll.acl
    • icacls.exe atmfd.dll / grant Administrateurs: (F)
    • renommer atmfd.dll x-atmfd.dll
  • Redémarrez le système.

Procédure facultative pour les systèmes d'exploitation Windows 8.1 et inférieurs (désactivez ATMFD):

  • Méthode 1 (manuelle):
    • Exécutez regedit.exe en tant qu'administrateur.
    • Dans Reg Editor, accédez à la sous-clé suivante (ou créez-la) et définissez sa valeur DWORD sur 1: HKLMSoftwareMicrosoftWindows NTCurrentVersionWindowsDisableATMFD, DWORD = 1
    • Fermez l'Éditeur du Registre et redémarrez le système.
  • Méthode 2 (à l'aide d'un script):
    • Créez un fichier texte nommé ATMFD-disable.reg qui contient le texte suivant:
      Éditeur de registre Windows version 5.00
      [HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindows]"DisableATMFD" = dword: 00000001
    • Exécutez regedit.exe.
    • Dans l'Éditeur du Registre, cliquez sur le menu Fichier, puis sur Importer.
    • Accédez au fichier ATMFD-disable.reg et sélectionnez-le que vous avez créé à la première étape.
    • Cliquez sur Ouvrir, puis sur OK pour fermer l'Éditeur du Registre.

Les clients sont invités à appliquer les solutions de contournement ADV200006 pour les systèmes d'exploitation concernés jusqu'à ce qu'un correctif soit publié pour être protégé contre cette vulnérabilité.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.