Microsoft thừa nhận hệ điều hành Windows có hai lỗ hổng RCE 0 ngày mới đang được khai thác trong tự nhiên, đây là một giải pháp hữu ích

Hệ điều hành Windows của Microsoft có hai lỗ hổng bảo mật đang bị những kẻ viết mã độc khai thác. Các lỗ hổng bảo mật mới được phát hiện có khả năng Thực thi Mã Từ xa hoặc RCE và chúng tồn tại trong Thư viện Trình quản lý Loại Adobe. Lỗi bảo mật có thể cho phép kẻ khai thác truy cập và điều khiển từ xa máy tính của nạn nhân sau khi cài đặt ngay cả các bản cập nhật mới nhất. Cần lưu ý rằng vẫn chưa có bản vá nào.

Microsoft đã thừa nhận có hai lỗ hổng trong Windows zero-day có thể thực thi mã độc trên các hệ thống được cập nhật đầy đủ. Các lỗ hổng đã được tìm thấy trong Thư viện Trình quản lý Loại Adobe, đang được sử dụng để hiển thị định dạng Adobe Type 1 PostScript trong Windows. Microsoft đã hứa rằng họ đang phát triển một bản vá để giảm thiểu rủi ro và vá lỗi khai thác. Tuy nhiên, công ty sẽ phát hành các bản vá như một phần của Bản vá thứ ba sắp tới. Tuy nhiên, những người dùng hệ điều hành Windows lo ngại có một số cách giải quyết đơn giản để bảo vệ hệ thống của họ khỏi hai lỗ hổng RCE mới này.

Microsoft cảnh báo về lỗ hổng trong 0 ngày thực thi mã Windows với khả năng tấn công có mục tiêu hạn chế:

Điều mới được phát hiện Các lỗ hổng RCE tồn tại trong Thư viện Trình quản lý Loại Adobe, một tệp DLL của Windows mà nhiều ứng dụng sử dụng để quản lý và hiển thị các phông chữ có sẵn từ Hệ thống Adobe. Lỗ hổng bảo mật bao gồm hai lỗ hổng thực thi mã có thể được kích hoạt bởi việc xử lý không đúng các phông chữ chính được chế tạo độc hại ở định dạng Adobe Type 1 Postscript. Để tấn công thành công máy tính của nạn nhân, những kẻ tấn công chỉ cần mục tiêu để mở tài liệu hoặc thậm chí xem trước tài liệu tương tự trong ngăn xem trước của Windows. Không cần phải thêm, tài liệu sẽ được gắn với mã độc hại.

Microsoft đã xác nhận rằng máy tính đang chạy Windows 7 là những người dễ bị tấn công nhất trong các lỗ hổng bảo mật mới được phát hiện. Công ty lưu ý rằng lỗ hổng thực thi mã từ xa phân tích cú pháp phông chữ đang được sử dụng trong "các cuộc tấn công có mục tiêu hạn chế", chống lại các hệ thống Windows 7. Đối với hệ thống Windows 10, phạm vi của các lỗ hổng bảo mật khá hạn chế, chỉ ra lời khuyên:

“Có nhiều cách mà kẻ tấn công có thể khai thác lỗ hổng, chẳng hạn như thuyết phục người dùng mở một tài liệu được chế tạo đặc biệt hoặc xem nó trong ngăn Windows Preview,” Microsoft lưu ý. Mặc dù chưa có bản sửa lỗi nào cho Windows 10, Windows 8.1 và Windows 7, công ty giải thích rằng “đối với các hệ thống chạy các phiên bản Windows 10 được hỗ trợ, một cuộc tấn công thành công chỉ có thể dẫn đến việc thực thi mã trong ngữ cảnh hộp cát AppContainer với các đặc quyền và khả năng hạn chế.

https://twitter.com/BleepinComputer/status/1242520156296921089

Microsoft chưa cung cấp nhiều thông tin chi tiết về phạm vi ảnh hưởng của các lỗi bảo mật mới được phát hiện. Công ty không cho biết liệu những kẻ khai thác đang thực hiện thành công các tải trọng độc hại hay chỉ đơn giản là đang cố gắng thực hiện.

Làm thế nào để bảo vệ chống lại các lỗ hổng RCE 0-Day mới của Windows trong Thư viện Trình quản lý Loại Adobe?

Microsoft vẫn chưa chính thức phát hành bản vá để bảo vệ khỏi các lỗ hổng bảo mật RCE mới được phát hiện. Các bản vá dự kiến ​​sẽ đến vào Patch Thứ Ba, rất có thể là vào tuần tới. Cho đến lúc đó, Microsoft đề xuất sử dụng một hoặc nhiều cách giải quyết sau:

  • Tắt ngăn xem trước và ngăn chi tiết trong Windows Explorer
  • Tắt dịch vụ WebClient
  • Đổi tên ATMFD.DLL (trên hệ thống Windows 10 có tệp theo tên đó) hoặc cách khác, vô hiệu hóa tệp khỏi sổ đăng ký

Biện pháp đầu tiên sẽ ngăn Windows Explorer tự động hiển thị Phông chữ Kiểu Mở. Ngẫu nhiên, biện pháp này sẽ ngăn chặn một số loại tấn công, nhưng nó sẽ không ngăn người dùng cục bộ, được xác thực chạy một chương trình được chế tạo đặc biệt để khai thác lỗ hổng bảo mật.

Việc vô hiệu hóa dịch vụ WebClient sẽ chặn vector mà những kẻ tấn công rất có thể sẽ sử dụng để thực hiện các cuộc khai thác từ xa. Cách giải quyết này sẽ khiến người dùng được nhắc xác nhận trước khi mở các chương trình tùy ý từ Internet. Tuy nhiên, những kẻ tấn công vẫn có thể chạy các chương trình nằm trên máy tính hoặc mạng cục bộ của người dùng được nhắm mục tiêu.

Cách giải quyết được đề xuất cuối cùng khá rắc rối vì nó sẽ gây ra sự cố hiển thị cho các ứng dụng dựa trên phông chữ được nhúng và có thể khiến một số ứng dụng ngừng hoạt động nếu chúng sử dụng phông chữ OpenType.

Như mọi khi, người dùng hệ điều hành Windows được cảnh báo đề phòng các yêu cầu đáng ngờ để xem các tài liệu không đáng tin cậy. Microsoft đã hứa sẽ sửa chữa vĩnh viễn, nhưng người dùng không nên truy cập hoặc mở tài liệu từ các nguồn chưa được xác minh hoặc không đáng tin cậy.

Facebook Twitter Google Plus Pinterest