Die ungepatchten Zero-Day-Fehler von Windows werden laut Microsoft in "begrenzten, gezielten" Angriffen ausgenutzt.
Microsoft warnt vor kritischen Zero-Day-Fehlern in seinem Windows-Betriebssystem, die eine entfernte Codeausführung ermöglichen könnten. Die ungepatchten Fehler werden von Angreifern in "begrenzten, gezielten" Angriffen ausgenutzt, sagte das Unternehmen.
Laut Microsoft gibt es zwei Schwachstellen bei der Remote-Codeausführung, die in der Art und Weise bestehen, wie die Adobe Type Manager Library von Windows bestimmte Schriften behandelt. Adobe Type Manager ist ein Schriftverwaltungsprogramm, das sowohl in Mac OS als auch in Windows-Betriebssystemen integriert ist und von Adobe hergestellt wird. Zwar sind keine Patches für die Schwachstellen verfügbar, doch können Workaround-Maßnahmen die Anwender schützen.
"Microsoft ist sich begrenzter gezielter Angriffe bewusst, die ungepatchte Schwachstellen in der Adobe Type Manager Library ausnutzen könnten, und stellt die folgenden Hinweise zur Verfügung, um das Kundenrisiko bis zur Veröffentlichung des Sicherheitsupdates zu verringern", so ein Sicherheitshinweis von Microsoft vom Montag.
Die Schwachstelle besteht insbesondere darin, dass die Windows-Version der Adobe Type Manager Library eine speziell entwickelte Multi-Master-Schriftart (das so genannte Adobe Type 1 PostScript-Format) nicht korrekt verarbeitet. Type 1-Vektorumriss-Schriften sind eine spezialisierte Form von PostScript (dem weltweiten Druck- und Bildbearbeitungsstandard), die laut Adobe Anweisungen für die Erstellung von Umrissen aus skalierbaren Linien und Kurven (gefüllt, um die Volltonformen von Buchstaben und anderen Glyphen zu erzeugen) enthalten.
Es gibt mehrere Möglichkeiten, wie ein Angreifer die Schwachstellen ausnutzen könnte, sagte Microsoft. So könnte ein Angreifer beispielsweise einen Anwender dazu bringen, ein speziell gestaltetes Dokument zu öffnen oder es im Windows-Vorschaufenster anzuzeigen. Das Windows Vorschaufenster wird von der Dateiverwaltungsanwendung Windows Explorer (in Windows 10 Datei-Explorer genannt) zur Vorschau von Bildern, Videos und anderen Inhalten verwendet.
Alle derzeit unterstützten Windows-Versionen sind betroffen, einschließlich Windows 10 sowie die Versionen von Windows 7, Windows 8.1, Windows RT, Windows Server 2008, Windows Server 2012, Windows Server 2016 und Windows Server 2019 (eine vollständige Liste der betroffenen Versionen finden Sie im Hinweistext). Windows 7 ist ebenfalls betroffen, obwohl es das Ende der Unterstützung erreicht hat, sagte Microsoft.
Obwohl noch keine Patches verfügbar sind, empfahl Microsoft eine Reihe von Abhilfemaßnahmen und Workarounds. Dazu gehört die Deaktivierung des Vorschaubereichs und des Detailbereichs in Windows. Die Blockierung würde bedeuten, dass der Windows-Explorer (oder der Datei-Explorer in Windows 10) nicht automatisch OpenType-Schriften anzeigt.
"Die Deaktivierung der Vorschau- und Detailansicht in Windows Explorer verhindert die automatische Anzeige von OTF-Schriften im Windows Explorer", sagte Microsoft. "Dies verhindert zwar, dass bösartige Dateien im Windows-Explorer angezeigt werden, hindert aber einen lokalen, authentifizierten Benutzer nicht daran, ein speziell entwickeltes Programm auszuführen, um diese Sicherheitslücke auszunutzen.
Andere Workarounds umfassen die Deaktivierung des WebClient-Service. Microsoft sagte, dass die Deaktivierung dieses Dienstes den Web Distributed Authoring and Versioning (WebDAV)-Clientdienst blockiert, der ein "wahrscheinlicher Fernangriffsvektor" sei. WebDAV ist eine HTTP-Erweiterung, die es Clients ermöglicht, Remote-Operationen zur Erstellung von Web-Inhalten durchzuführen.
"Nach Anwendung dieser Umgehungslösung ist es für entfernte Angreifer, die diese Schwachstelle erfolgreich ausnutzen, immer noch möglich, das System dazu zu bringen, Programme auszuführen, die sich auf dem Computer des Zielbenutzers oder im Local Area Network (LAN) befinden, aber die Benutzer werden vor dem Öffnen beliebiger Programme aus dem Internet zur Bestätigung aufgefordert", sagte Microsoft.
Eine weitere Abhilfe ist die Umbenennung von ATMFD.DLL (der Dateiname des Adobe Type Manager-Schrifttreibers), sagte Microsoft. Das Unternehmen wies auch darauf hin, dass bei Systemen, auf denen unterstützte Versionen von Windows 10 laufen, ein erfolgreicher Angriff nur in der Ausführung von Code innerhalb eines AppContainer-Sandbox-Kontextes mit begrenzten Privilegien und Fähigkeiten resultieren könnte.
Microsoft sagte, es arbeite derzeit an einem Fix und dass ein Patch wahrscheinlich während der regelmäßig geplanten Patch-Dienstag-Updates (geplant für den 14. April) kommen würde.
"Updates, die Sicherheitslücken in Microsoft-Software beheben, werden laut Microsoft in der Regel am Update-Dienstag, dem zweiten Dienstag eines jeden Monats, veröffentlicht", so Microsoft. "Dieser vorhersehbare Zeitplan ermöglicht die Qualitätssicherung und IT-Planung der Partner, was dazu beiträgt, das Windows-Ökosystem als eine zuverlässige, sichere Wahl für unsere Kunden zu erhalten.