Vulnerabilità di tipo RCE nei font di Windows

24/03/2020

Microsoft rce Vulnerabilità

Nella giornata di ieri Microsoft ha rilasciato un bollettino, relativo a due vulnerabilità classificate “critiche” che interessano le seguenti versioni di Windows:

  • Windows 10 vers. 1909 e precedenti;
  • Windows 7 SP1;
  • Windows 8.1;
  • Windows server 2008 SP2;
  • Windows server 2008 R2 SP1;
  • Windows server 2012;
  • Windows server 2012 R2;
  • Windows Server 2016;
  • Windows Server 2019.

Le vulnerabilità riguardano il componente Adobe Type Manager Library (atmfd.dll) che Microsoft usa per riprodurre i caratteri PostScript Type 1 all’interno di Windows.

Nel dettaglio, le vulnerabilità potrebbero consentire ad un utente malintenzionato di eseguire codice arbitrario, ad esempio inducendo le vittime ad aprire un documento appositamente creato (contenente un font di tipo PostScript) o a visualizzarne l’anteprima.

Secondo quanto pubblicato nel bollettino, vi sono evidenze di attacchi che stanno sfruttando queste vulnerabilità.

Per mitigare, Microsoft ha pubblicato una serie di azioni per mitigare il problema:

  • Disabilitare Riquadro di Anteprima e Riquadro dettagli in Windows Explorer (Esplora File): La disabilitazione dei pannelli Anteprima e Dettagli in Esplora risorse impedisce la visualizzazione automatica dei caratteri OTF in Esplora risorse.
  • Disabilitare il servizio WebClient (servizio client WebDAV): La disabilitazione del servizio WebClient blocca il vettore di attacco remoto più probabile.
  • Rinominare/disabilitare ATMFD.DLL (non applicabile in windows 10). La disabilitazione di ATMFD.DLL potrebbe impedire il corretto funzionamento di alcune applicazioni che utilizzano caratteri OpenType. Microsoft Windows non usa alcun carattere OpenType, tuttavia, le applicazioni di terze parti potrebbero installarle e potrebbero essere interessate da questa modifica.

 

Conclusioni

Come già descritto sopra, tutte le versioni supportate di Windows e Windows Server sono vulnerabili, compreso Windows 7, il cui supporto è terminato a metà gennaio. In attesa di una patch, il CERT-PA consiglia di procedere con le azioni proposte da Microsoft per mitigare il problema.