Aujourd'hui, Microsoft a publié un avis de sécurité hors bande ADV200006 pour corriger deux vulnérabilités critiques d'exécution de code à distance dans la bibliothèque Adobe Type Manager. Microsoft a également connaissance d'attaques ciblées limitées qui tentent de tirer parti de cette vulnérabilité.\nLa vulnérabilité\nLa bibliothèque Microsoft Windows Adobe Type Manager est affectée par deux vulnérabilités d'exécution de code à distance car elle ne gère pas correctement une police multimaître spécialement conçue (format PostScript Adobe Type 1). Une exploitation réussie nécessiterait un attaquant distant pour convaincre un utilisateur d'ouvrir un document spécialement conçu conduisant à une corruption de mémoire et à l'exécution de code arbitraire sur le système. Cela peut entraîner un compromis complet du système vulnérable.\nSystèmes concernés\nTous les systèmes d'exploitation Windows et Windows Server pris en charge sont affectés.Windows 7, 8.1, RT 8.1, 10, Windows Server 2008, 2008 R2, 2012, 2012 R2, 2016, 2019\nDétection de l'ADV200006 avec Qualys Vulnerability Management\nLa meilleure méthode pour identifier les hôtes vulnérables qui n'ont pas de solution de contournement est via l'agent Cloud Qualys ou via l'analyse authentifiée Qualys. Qualys a publié le QID 91617 pour Qualys Vulnerability Management qui est inclus dans la version de signature VULNSIGS-2.4.849-4. Les agents cloud recevront automatiquement ce nouveau QID dans le cadre de la version 2.4.849.4-3 du manifeste.\nQID 91617: Vulnérabilité d'exécution de code à distance dans la bibliothèque Adobe Type Manager de Microsoft Windows (ADV200006) (Zero Day)\nVous pouvez rechercher cela dans VM Dashboard à l'aide de la requête QQL suivante:\nvulnérabilités.vulnerabilité.qid: 91617\nCela renverra une liste de tous les hôtes impactés.
"},{"id":"text-2","type":"text","heading":"","plain_text":"Solution de contournement:\nBien que les correctifs pour ces vulnérabilités ne soient pas disponibles, Microsoft a fourni des solutions de contournement pour sécuriser les systèmes vulnérables:","html":"Solution de contournement:\nBien que les correctifs pour ces vulnérabilités ne soient pas disponibles, Microsoft a fourni des solutions de contournement pour sécuriser les systèmes vulnérables:
"},{"id":"text-3","type":"text","heading":"","plain_text":"Désactiver le volet de visualisation et le volet d'informations dans l'Explorateur Windows (WE)\nDésactivez le service WebClient\nRenommez ATMFD.DLL ou désactivez la clé de registre pour Windows 8.1 et versions antérieures","html":"Désactiver le volet de visualisation et le volet d'informations dans l'Explorateur Windows (WE)\nDésactivez le service WebClient\nRenommez ATMFD.DLL ou désactivez la clé de registre pour Windows 8.1 et versions antérieures
"},{"id":"text-4","type":"text","heading":"","plain_text":"Les deux premières solutions de contournement offrent moins de sécurité contre la vulnérabilité, car l'attaque pourrait toujours être menée dans des conditions autorisées. Dans le premier cas, un utilisateur local authentifié peut toujours exploiter cette vulnérabilité en exécutant un programme spécialement conçu. Dans le second cas également, il est toujours possible pour des attaquants distants d'exécuter des programmes situés sur l'ordinateur de l'utilisateur ciblé ou sur le LAN. Cependant, les utilisateurs seront invités à confirmer avant d'ouvrir des programmes arbitraires à partir d'Internet.\nLors de l'application d'une troisième solution de contournement, Microsoft indique que la désactivation de la clé de registre peut entraîner le dysfonctionnement de certaines applications, car les polices OpenType ne sont pas des applications natives Windows et sont installées via des applications tierces.\nDésactiver le volet de visualisation et le volet d'informations dans l'Explorateur Windows (WE)","html":"Les deux premières solutions de contournement offrent moins de sécurité contre la vulnérabilité, car l'attaque pourrait toujours être menée dans des conditions autorisées. Dans le premier cas, un utilisateur local authentifié peut toujours exploiter cette vulnérabilité en exécutant un programme spécialement conçu. Dans le second cas également, il est toujours possible pour des attaquants distants d'exécuter des programmes situés sur l'ordinateur de l'utilisateur ciblé ou sur le LAN. Cependant, les utilisateurs seront invités à confirmer avant d'ouvrir des programmes arbitraires à partir d'Internet.\nLors de l'application d'une troisième solution de contournement, Microsoft indique que la désactivation de la clé de registre peut entraîner le dysfonctionnement de certaines applications, car les polices OpenType ne sont pas des applications natives Windows et sont installées via des applications tierces.\nDésactiver le volet de visualisation et le volet d'informations dans l'Explorateur Windows (WE)
"},{"id":"text-5","type":"text","heading":"","plain_text":"La désactivation des volets Aperçu et Détails dans WE empêche l'affichage automatique des polices OTF dans WE. Bien que cela empêche l'affichage de fichiers malveillants dans WE, cela n'empêche pas un utilisateur local authentifié d'exécuter un programme spécialement conçu pour exploiter cette vulnérabilité. Pour désactiver ces volets dans Windows 8.1 et avant, procédez comme suit:","html":"La désactivation des volets Aperçu et Détails dans WE empêche l'affichage automatique des polices OTF dans WE. Bien que cela empêche l'affichage de fichiers malveillants dans WE, cela n'empêche pas un utilisateur local authentifié d'exécuter un programme spécialement conçu pour exploiter cette vulnérabilité. Pour désactiver ces volets dans Windows 8.1 et avant, procédez comme suit:
"},{"id":"text-6","type":"text","heading":"","plain_text":"Ouvrez WE, cliquez sur Organiser, puis sur Disposition.","html":"Ouvrez WE, cliquez sur Organiser, puis sur Disposition.
"},{"id":"text-7","type":"text","heading":"","plain_text":"Désactivez les options de menu du volet Détails et du volet Aperçu.\nCliquez sur Organiser, puis sur Options de dossier et de recherche.\nCliquez sur l'onglet Affichage.\nSous Paramètres avancés, cochez la case Toujours afficher les icônes, jamais les miniatures.\nFermez toutes les instances ouvertes de WE pour que la modification prenne effet.","html":"Désactivez les options de menu du volet Détails et du volet Aperçu.\nCliquez sur Organiser, puis sur Options de dossier et de recherche.\nCliquez sur l'onglet Affichage.\nSous Paramètres avancés, cochez la case Toujours afficher les icônes, jamais les miniatures.\nFermez toutes les instances ouvertes de WE pour que la modification prenne effet.
"},{"id":"text-8","type":"text","heading":"","plain_text":"Désactivez le service WebClient\nLa désactivation du service WebClient permet de protéger les systèmes affectés contre les tentatives d'exploitation de cette vulnérabilité en bloquant le vecteur d'attaque à distance le plus probable via le service client WebDAV.Il est toujours possible pour les attaquants distants qui exploitent cette vulnérabilité avec succès de faire exécuter des programmes situés sur le l'ordinateur de l'utilisateur ciblé ou le réseau local, mais les utilisateurs seront invités à confirmer.\nPour désactiver le service WebClient, procédez comme suit:","html":"Désactivez le service WebClient\nLa désactivation du service WebClient permet de protéger les systèmes affectés contre les tentatives d'exploitation de cette vulnérabilité en bloquant le vecteur d'attaque à distance le plus probable via le service client WebDAV.Il est toujours possible pour les attaquants distants qui exploitent cette vulnérabilité avec succès de faire exécuter des programmes situés sur le l'ordinateur de l'utilisateur ciblé ou le réseau local, mais les utilisateurs seront invités à confirmer.\nPour désactiver le service WebClient, procédez comme suit:
"},{"id":"text-9","type":"text","heading":"","plain_text":"Cliquez sur Démarrer, cliquez sur Exécuter, tapez Services.msc et cliquez sur OK.\nCliquez avec le bouton droit sur le service WebClient et sélectionnez Propriétés.\nModifiez le type de démarrage sur désactivé. Si le service est en cours d'exécution, cliquez sur Arrêter.\nCliquez sur OK et quittez l'application de gestion.","html":"Cliquez sur Démarrer, cliquez sur Exécuter, tapez Services.msc et cliquez sur OK.\nCliquez avec le bouton droit sur le service WebClient et sélectionnez Propriétés.\nModifiez le type de démarrage sur désactivé. Si le service est en cours d'exécution, cliquez sur Arrêter.\nCliquez sur OK et quittez l'application de gestion.
"},{"id":"text-10","type":"text","heading":"","plain_text":"Renommez ATMFD.DLL:","html":"Renommez ATMFD.DLL:
"},{"id":"text-11","type":"text","heading":"","plain_text":"Entrez les commandes suivantes à une invite de commandes d'administration:","html":"Entrez les commandes suivantes à une invite de commandes d'administration:
"},{"id":"text-12","type":"text","heading":"","plain_text":"cd «% windir% system32»\ntakeown.exe / f atmfd.dll\nicacls.exe atmfd.dll / save atmfd.dll.acl\nicacls.exe atmfd.dll / grant Administrateurs: (F)\nrenommer atmfd.dll x-atmfd.dll","html":"cd «% windir% system32»\ntakeown.exe / f atmfd.dll\nicacls.exe atmfd.dll / save atmfd.dll.acl\nicacls.exe atmfd.dll / grant Administrateurs: (F)\nrenommer atmfd.dll x-atmfd.dll
"},{"id":"text-13","type":"text","heading":"","plain_text":"Redémarrez le système.","html":"Redémarrez le système.
"},{"id":"text-14","type":"text","heading":"","plain_text":"Procédure facultative pour les systèmes d'exploitation Windows 8.1 et inférieurs (désactivez ATMFD):","html":"Procédure facultative pour les systèmes d'exploitation Windows 8.1 et inférieurs (désactivez ATMFD):
"},{"id":"text-15","type":"text","heading":"","plain_text":"Méthode 1 (manuelle):","html":"Méthode 1 (manuelle):
"},{"id":"text-16","type":"text","heading":"","plain_text":"Exécutez regedit.exe en tant qu'administrateur.\nDans Reg Editor, accédez à la sous-clé suivante (ou créez-la) et définissez sa valeur DWORD sur 1: HKLMSoftwareMicrosoftWindows NTCurrentVersionWindowsDisableATMFD, DWORD = 1\nFermez l'Éditeur du Registre et redémarrez le système.","html":"Exécutez regedit.exe en tant qu'administrateur.\nDans Reg Editor, accédez à la sous-clé suivante (ou créez-la) et définissez sa valeur DWORD sur 1: HKLMSoftwareMicrosoftWindows NTCurrentVersionWindowsDisableATMFD, DWORD = 1\nFermez l'Éditeur du Registre et redémarrez le système.
"},{"id":"text-17","type":"text","heading":"","plain_text":"Méthode 2 (à l'aide d'un script):","html":"Méthode 2 (à l'aide d'un script):
"},{"id":"text-18","type":"text","heading":"","plain_text":"Créez un fichier texte nommé ATMFD-disable.reg qui contient le texte suivant:Éditeur de registre Windows version 5.00[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindows]"DisableATMFD" = dword: 00000001\nExécutez regedit.exe.\nDans l'Éditeur du Registre, cliquez sur le menu Fichier, puis sur Importer.\nAccédez au fichier ATMFD-disable.reg et sélectionnez-le que vous avez créé à la première étape.\nCliquez sur Ouvrir, puis sur OK pour fermer l'Éditeur du Registre.","html":"Créez un fichier texte nommé ATMFD-disable.reg qui contient le texte suivant:Éditeur de registre Windows version 5.00[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindows]"DisableATMFD" = dword: 00000001\nExécutez regedit.exe.\nDans l'Éditeur du Registre, cliquez sur le menu Fichier, puis sur Importer.\nAccédez au fichier ATMFD-disable.reg et sélectionnez-le que vous avez créé à la première étape.\nCliquez sur Ouvrir, puis sur OK pour fermer l'Éditeur du Registre.
"},{"id":"text-19","type":"text","heading":"","plain_text":"Les clients sont invités à appliquer les solutions de contournement ADV200006 pour les systèmes d'exploitation concernés jusqu'à ce qu'un correctif soit publié pour être protégé contre cette vulnérabilité.\nen relation","html":"Les clients sont invités à appliquer les solutions de contournement ADV200006 pour les systèmes d'exploitation concernés jusqu'à ce qu'un correctif soit publié pour être protégé contre cette vulnérabilité.\nen relation
"},{"id":"text-20","type":"text","heading":"","plain_text":"Click to rate this post!\n \n [Total: 0 Average: 0]","html":"Click to rate this post!\n \n [Total: 0 Average: 0]
"}],"sections":[{"id":"text-1","heading":"Text","content":"Aujourd'hui, Microsoft a publié un avis de sécurité hors bande ADV200006 pour corriger deux vulnérabilités critiques d'exécution de code à distance dans la bibliothèque Adobe Type Manager. Microsoft a également connaissance d'attaques ciblées limitées qui tentent de tirer parti de cette vulnérabilité.\nLa vulnérabilité\nLa bibliothèque Microsoft Windows Adobe Type Manager est affectée par deux vulnérabilités d'exécution de code à distance car elle ne gère pas correctement une police multimaître spécialement conçue (format PostScript Adobe Type 1). Une exploitation réussie nécessiterait un attaquant distant pour convaincre un utilisateur d'ouvrir un document spécialement conçu conduisant à une corruption de mémoire et à l'exécution de code arbitraire sur le système. Cela peut entraîner un compromis complet du système vulnérable.\nSystèmes concernés\nTous les systèmes d'exploitation Windows et Windows Server pris en charge sont affectés.Windows 7, 8.1, RT 8.1, 10, Windows Server 2008, 2008 R2, 2012, 2012 R2, 2016, 2019\nDétection de l'ADV200006 avec Qualys Vulnerability Management\nLa meilleure méthode pour identifier les hôtes vulnérables qui n'ont pas de solution de contournement est via l'agent Cloud Qualys ou via l'analyse authentifiée Qualys. Qualys a publié le QID 91617 pour Qualys Vulnerability Management qui est inclus dans la version de signature VULNSIGS-2.4.849-4. Les agents cloud recevront automatiquement ce nouveau QID dans le cadre de la version 2.4.849.4-3 du manifeste.\nQID 91617: Vulnérabilité d'exécution de code à distance dans la bibliothèque Adobe Type Manager de Microsoft Windows (ADV200006) (Zero Day)\nVous pouvez rechercher cela dans VM Dashboard à l'aide de la requête QQL suivante:\nvulnérabilités.vulnerabilité.qid: 91617\nCela renverra une liste de tous les hôtes impactés."},{"id":"text-2","heading":"Text","content":"Solution de contournement:\nBien que les correctifs pour ces vulnérabilités ne soient pas disponibles, Microsoft a fourni des solutions de contournement pour sécuriser les systèmes vulnérables:"},{"id":"text-3","heading":"Text","content":"Désactiver le volet de visualisation et le volet d'informations dans l'Explorateur Windows (WE)\nDésactivez le service WebClient\nRenommez ATMFD.DLL ou désactivez la clé de registre pour Windows 8.1 et versions antérieures"},{"id":"text-4","heading":"Text","content":"Les deux premières solutions de contournement offrent moins de sécurité contre la vulnérabilité, car l'attaque pourrait toujours être menée dans des conditions autorisées. Dans le premier cas, un utilisateur local authentifié peut toujours exploiter cette vulnérabilité en exécutant un programme spécialement conçu. Dans le second cas également, il est toujours possible pour des attaquants distants d'exécuter des programmes situés sur l'ordinateur de l'utilisateur ciblé ou sur le LAN. Cependant, les utilisateurs seront invités à confirmer avant d'ouvrir des programmes arbitraires à partir d'Internet.\nLors de l'application d'une troisième solution de contournement, Microsoft indique que la désactivation de la clé de registre peut entraîner le dysfonctionnement de certaines applications, car les polices OpenType ne sont pas des applications natives Windows et sont installées via des applications tierces.\nDésactiver le volet de visualisation et le volet d'informations dans l'Explorateur Windows (WE)"},{"id":"text-5","heading":"Text","content":"La désactivation des volets Aperçu et Détails dans WE empêche l'affichage automatique des polices OTF dans WE. Bien que cela empêche l'affichage de fichiers malveillants dans WE, cela n'empêche pas un utilisateur local authentifié d'exécuter un programme spécialement conçu pour exploiter cette vulnérabilité. Pour désactiver ces volets dans Windows 8.1 et avant, procédez comme suit:"},{"id":"text-6","heading":"Text","content":"Ouvrez WE, cliquez sur Organiser, puis sur Disposition."},{"id":"text-7","heading":"Text","content":"Désactivez les options de menu du volet Détails et du volet Aperçu.\nCliquez sur Organiser, puis sur Options de dossier et de recherche.\nCliquez sur l'onglet Affichage.\nSous Paramètres avancés, cochez la case Toujours afficher les icônes, jamais les miniatures.\nFermez toutes les instances ouvertes de WE pour que la modification prenne effet."},{"id":"text-8","heading":"Text","content":"Désactivez le service WebClient\nLa désactivation du service WebClient permet de protéger les systèmes affectés contre les tentatives d'exploitation de cette vulnérabilité en bloquant le vecteur d'attaque à distance le plus probable via le service client WebDAV.Il est toujours possible pour les attaquants distants qui exploitent cette vulnérabilité avec succès de faire exécuter des programmes situés sur le l'ordinateur de l'utilisateur ciblé ou le réseau local, mais les utilisateurs seront invités à confirmer.\nPour désactiver le service WebClient, procédez comme suit:"},{"id":"text-9","heading":"Text","content":"Cliquez sur Démarrer, cliquez sur Exécuter, tapez Services.msc et cliquez sur OK.\nCliquez avec le bouton droit sur le service WebClient et sélectionnez Propriétés.\nModifiez le type de démarrage sur désactivé. Si le service est en cours d'exécution, cliquez sur Arrêter.\nCliquez sur OK et quittez l'application de gestion."},{"id":"text-10","heading":"Text","content":"Renommez ATMFD.DLL:"},{"id":"text-11","heading":"Text","content":"Entrez les commandes suivantes à une invite de commandes d'administration:"},{"id":"text-12","heading":"Text","content":"cd «% windir% system32»\ntakeown.exe / f atmfd.dll\nicacls.exe atmfd.dll / save atmfd.dll.acl\nicacls.exe atmfd.dll / grant Administrateurs: (F)\nrenommer atmfd.dll x-atmfd.dll"},{"id":"text-13","heading":"Text","content":"Redémarrez le système."},{"id":"text-14","heading":"Text","content":"Procédure facultative pour les systèmes d'exploitation Windows 8.1 et inférieurs (désactivez ATMFD):"},{"id":"text-15","heading":"Text","content":"Méthode 1 (manuelle):"},{"id":"text-16","heading":"Text","content":"Exécutez regedit.exe en tant qu'administrateur.\nDans Reg Editor, accédez à la sous-clé suivante (ou créez-la) et définissez sa valeur DWORD sur 1: HKLMSoftwareMicrosoftWindows NTCurrentVersionWindowsDisableATMFD, DWORD = 1\nFermez l'Éditeur du Registre et redémarrez le système."},{"id":"text-17","heading":"Text","content":"Méthode 2 (à l'aide d'un script):"},{"id":"text-18","heading":"Text","content":"Créez un fichier texte nommé ATMFD-disable.reg qui contient le texte suivant:Éditeur de registre Windows version 5.00[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindows]"DisableATMFD" = dword: 00000001\nExécutez regedit.exe.\nDans l'Éditeur du Registre, cliquez sur le menu Fichier, puis sur Importer.\nAccédez au fichier ATMFD-disable.reg et sélectionnez-le que vous avez créé à la première étape.\nCliquez sur Ouvrir, puis sur OK pour fermer l'Éditeur du Registre."},{"id":"text-19","heading":"Text","content":"Les clients sont invités à appliquer les solutions de contournement ADV200006 pour les systèmes d'exploitation concernés jusqu'à ce qu'un correctif soit publié pour être protégé contre cette vulnérabilité.\nen relation"},{"id":"text-20","heading":"Text","content":"Click to rate this post!\n \n [Total: 0 Average: 0]"}],"media":{"primary_image":"https://tutos-gameserver.fr/wp-content/uploads/2020/04/Screen-Shot-2020-03-23-at-6.57.18-PM-600x201.png"},"relations":[{"rel":"canonical","href":"https://tutos-gameserver.fr/2020/04/30/microsoft-a-publie-un-avis-hors-bande-vulnerabilite-dexecution-de-code-a-distance-dans-la-bibliotheque-adobe-type-manager-de-windows-adv200006-serveur-dimpression/"},{"rel":"alternate","href":"https://tutos-gameserver.fr/2020/04/30/microsoft-a-publie-un-avis-hors-bande-vulnerabilite-dexecution-de-code-a-distance-dans-la-bibliotheque-adobe-type-manager-de-windows-adv200006-serveur-dimpression/llm","type":"text/html"},{"rel":"alternate","href":"https://tutos-gameserver.fr/2020/04/30/microsoft-a-publie-un-avis-hors-bande-vulnerabilite-dexecution-de-code-a-distance-dans-la-bibliotheque-adobe-type-manager-de-windows-adv200006-serveur-dimpression/llm.json","type":"application/json"},{"rel":"llm-manifest","href":"https://tutos-gameserver.fr/llm-endpoints-manifest.json","type":"application/json"}],"http_headers":{"X-LLM-Friendly":"1","X-LLM-Schema":"1.1.0","Content-Security-Policy":"default-src 'none'; img-src * data:; style-src 'unsafe-inline'"},"license":"CC BY-ND 4.0","attribution_required":true,"allow_cors":false}