Execução de código do Windows zeroday is under active exploit, alerta Microsoft

Não há patch disponível agora. Aqui está o que fazer até a Microsoft emitir um.

 

Os invasores estão explorando ativamente uma vulnerabilidade de dia zero do Windows que pode executar códigos maliciosos em sistemas totalmente atualizados, alertou a Microsoft na segunda-feira.

A vulnerabilidade de execução remota de código de análise de fontes está sendo usada em “ataques direcionados limitados”, contra os sistemas Windows 7, informou a fabricante de software em um comunicado publicado na manhã de segunda-feira . A falha de segurança existe na Adobe Type Manager Library, um arquivo DLL do Windows que uma grande variedade de aplicativos usa para gerenciar e renderizar fontes disponíveis na Adobe Systems. A vulnerabilidade consiste em duas falhas de execução de código que podem ser acionadas pelo manuseio inadequado de fontes mestres criadas com códigos maliciosos no formato Postscript do Adobe Type 1. Os invasores podem explorá-los convencendo um alvo a abrir um documento bloqueado ou visualizando-o no painel de visualização do Windows.

“A Microsoft está ciente de ataques limitados e direcionados que tentam aproveitar essa vulnerabilidade”, alertou o comunicado de segunda-feira. Em outros lugares, o comunicado dizia: “Para sistemas executando versões suportadas do Windows 10, um ataque bem-sucedido só poderia resultar na execução de código em um contexto de caixa de areia do AppContainer com privilégios e recursos limitados”.

A Microsoft não disse se as explorações estão executando com êxito cargas úteis maliciosas ou simplesmente tentando. Freqüentemente, as defesas de segurança incorporadas ao Windows impedem que as explorações funcionem como planejado pelos hackers. O comunicado também não fez referência ao volume ou à localização geográfica das explorações. Uma correção ainda não está disponível, e o comunicado de segunda-feira não forneceu indicação de quando alguém seria enviado.

O que fazer agora?

Até que um patch seja disponibilizado, a Microsoft sugere que os usuários de sistemas não Windows 10 usem uma ou mais das seguintes soluções alternativas:

  • Desabilitando o Painel de Visualização e o Painel de Detalhes no Windows Explorer
  • Desativando o serviço WebClient
  • Renomeie ATMFD.DLL (nos sistemas Windows 10 que possuem um arquivo com esse nome) ou, como alternativa, desabilite o arquivo no registro

A primeira medida impedirá que o Windows Explorer, uma ferramenta que fornece uma interface gráfica do usuário para exibir e gerenciar recursos do Windows, exiba automaticamente as fontes de tipo aberto. Embora essa correção de interrupção impeça alguns tipos de ataques, não impede que um usuário autenticado local execute um programa especialmente criado para explorar a vulnerabilidade.

A segunda solução alternativa – desabilitar o serviço WebClient – bloqueia os invasores de vetores que provavelmente usariam para realizar explorações remotas. Mesmo com essa medida, ainda é possível que atacantes remotos executem programas localizados no computador ou na rede local do usuário de destino. Ainda assim, a solução alternativa fará com que os usuários sejam solicitados a confirmar antes de abrir programas arbitrários da Internet.

A Microsoft disse que desabilitar o WebClient impedirá a transmissão de Criação e Versão Distribuída na Web. Ele também interrompe o início de qualquer serviço cuja explicitamente dependa do WebClient e registre as mensagens de erro no log do sistema.

Renomear ATMFD.DLL, a última interrupção recomendada, causará problemas de exibição para aplicativos que dependem de fontes incorporadas e poderá fazer com que alguns aplicativos parem de funcionar se usarem fontes OpenType. A Microsoft também alertou que erros ao fazer alterações no registro do Windows – conforme exigido em uma variação da terceira solução alternativa – podem causar problemas sérios que podem exigir a reinstalação completa do Windows. O arquivo DLL não está mais presente no Windows 10 versão 1709 e superior.

O comunicado de segunda-feira fornece instruções detalhadas para ativar e desativar as três soluções alternativas. A Configuração de segurança aprimorada, ativada por padrão nos servidores Windows, não atenua a vulnerabilidade, acrescentou o comunicado.

Segmentado … por enquanto

A frase “ataques direcionados limitados” costuma ser uma abreviação de explorações realizadas por hackers que realizam operações de espionagem em nome de governos. Esses tipos de ataques geralmente se limitam a um pequeno número de alvos – em alguns casos, menos de uma dúzia – que trabalham em um ambiente específico que é de interesse do governo que patrocina os hackers.

Embora os usuários do Windows em geral possam não ser segmentados inicialmente, novas campanhas às vezes varrem um número cada vez maior de destinos, uma vez que o conhecimento das vulnerabilidades subjacentes se torna mais difundido. No mínimo, todos os usuários do Windows devem monitorar este aviso, estar atento a solicitações suspeitas para exibir documentos não confiáveis ​​e instalar um patch assim que estiver disponível. Os usuários do Windows também podem querer seguir uma ou mais das soluções alternativas, mas somente depois de considerar os riscos e benefícios em potencial.

Deixe um comentário

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.

Blog no WordPress.com.

Acima ↑

Crie um site como este com o WordPress.com
Comece agora