Вчера Microsoft выпустила экстренное исправление с помощью автоматических обновлений для всех поддерживаемых версий своей операционной системы Windows, которое исправляет критическую проблему, которая может позволить удаленное выполнение кода при успешном использовании.
В частности, уязвимость использует проблему в библиотеке Windows Adobe Type Manager, когда в систему загружаются специально созданные документы со шрифтами OpenType.
Это может произойти, когда пользователи открывают вредоносные документы в системе напрямую или когда они посещают веб-сайты, которые используют встроенные шрифты OpenType. Поскольку банкомат может использоваться другими программами, помимо Internet Explorer, это может повлиять на системы, в которых другие веб-браузеры используются для просмотра Интернета или открытия документов.
При успешном использовании злоумышленники могут получить контроль над системой, устанавливая или удаляя программы, изменяя учетные записи пользователей или удаляя данные.
Интересно отметить, что патч заменяет MS15-077 (KB3077657), выпущенный корпорацией Майкрософт 14 июля 2015 года и исправляющий уязвимость, повышающую привилегии в драйвере шрифта Adobe Type Manager.
Уязвимость затрагивает все версии Windows, включая неподдерживаемые версии Windows XP и Windows 2003. Хотя Windows XP не получила ни одного из двух исправлений, Windows 2003 получила первое из двух, но не второе из-за EOL поддержки.
Администраторы и пользователи Microsoft Windows XP и Windows 2003 могут найти полезные ручные инструкции по обходному пути на официальном веб-сайте бюллетеня, которые они могут использовать для защиты систем от эксплойтов. Компания предлагает переименовать файл в atmfd.dll в системах до Windows 8 и для отключения Adobe Type Manager в системах Windows 8 или более поздних версий.
Переименовать atmfd.dll в 32-битных системах
cd "% windir% \ system32"
вынос.exe / f atmfd.dll
icacls.exe atmfd.dll / сохранить atmfd.dll.acl
icacls.exe atmfd.dll / grant Администраторы: (F)
переименовать atmfd.dll x-atmfd.dll
Переименовать atmfd.dll в 64-битных системах
cd "% windir% \ system32"
вынос.exe / f atmfd.dll
icacls.exe atmfd.dll / сохранить atmfd.dll.acl
icacls.exe atmfd.dll / grant Администраторы: (F)
переименовать atmfd.dll x-atmfd.dll
cd "% windir% \ syswow64"
вынос.exe / f atmfd.dll
icacls.exe atmfd.dll / сохранить atmfd.dll.acl
icacls.exe atmfd.dll / grant Администраторы: (F)
переименовать atmfd.dll x-atmfd.dll
Отключение atmfd в Windows 8 или новее
- Нажмите на клавишу Windows, введите regedit и нажмите Enter.
- Перейдите к ключу: HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows \ DisableATMFD
- Если DisableATMFD не существует, щелкните правой кнопкой мыши Windows и выберите New> Dword (32-bit) Value.
- Установите его значение на 1.
Патч, выпущенный сегодня Microsoft, устраняет уязвимости во всех поддерживаемых системах. Его можно установить с помощью автоматических обновлений в домашних системах операционной системы или загрузить через Центр загрузки Microsoft. Ссылки для скачивания каждой уязвимой операционной системы представлены в разделе «уязвимое программное обеспечение» на странице поддержки MS15-078.
Microsoft заявляет, что уязвимость является общедоступной, но ей не известно об атаках, использующих ее в настоящее время. Экстренный выпуск исправления указывает на высокую вероятность того, что проблема будет использована в ближайшем будущем.
Эксплойт был обнаружен после утечки хакерами внутренних файлов итальянской компании Hacking Team.