Microsoft, Windows İşletim Sisteminin Vahşi Ortamda Sömürülen İki Yeni 0 Günlük RCE Güvenlik Açığı İçerdiğini Kabul Etti, İşte Çalışan Bir Çözüm
Microsoft Windows OS, kötü niyetli kod yazarları tarafından istismar edilen iki güvenlik açığına sahiptir. Yeni keşfedilen güvenlik açıkları Uzaktan Kod Yürütme veya RCE özelliklidir ve Adobe Type Manager Kitaplığında bulunur. Güvenlik hatası, en son güncellemeleri bile yükledikten sonra istismarcıların kurbanın bilgisayarlarına uzaktan erişmesine ve kontrol etmesine izin verebilir. Henüz bir yama bulunmadığına dikkat etmek önemlidir.
Microsoft, tamamen güncellenmiş sistemlerde kötü amaçlı kod çalıştırabilen iki Windows sıfır gün güvenlik açığı olduğunu kabul etti. Güvenlik açıkları, Windows'ta Adobe Type 1 PostScript formatını görüntülemek için kullanılan Adobe Type Manager Library'de bulundu. Microsoft, riski azaltmak ve açıkları düzeltmek için bir yama geliştireceğine söz verdi. Ancak şirket, yamaları Salı günü önümüzdeki Yamanın bir parçası olarak yayınlayacak. Bununla birlikte, endişeli Windows işletim sistemi kullanıcılarının birkaç geçici ve basit geçici çözümler sistemlerini bu iki yeni RCE güvenlik açığından korumak için.
Microsoft, Sınırlı Hedefli Saldırı Potansiyeli Olan Windows Kod Yürütme 0 Günlük Güvenlik Açıkları Hakkında Uyardı:
Yeni keşfedilen RCE güvenlik açıkları Adobe Systems'de bulunan yazı tiplerini yönetmek ve işlemek için çok çeşitli uygulamaların kullandığı bir Windows DLL dosyası olan Adobe Type Manager Library'de bulunur. Güvenlik açığı, Adobe Type 1 Postscript biçiminde kötü amaçlarla oluşturulmuş ana fontların hatalı işlenmesiyle tetiklenebilen iki kod yürütme kusurundan oluşur. Bir kurbanın bilgisayarına başarılı bir şekilde saldırmak için, saldırganların yalnızca hedefin bir belgeyi açması ve hatta Windows önizleme bölmesinde önizleme yapmasına ihtiyacı vardır. Eklemeye gerek yok, belgeye kötü amaçlı kod eklenecektir.
Microsoft, çalışan bilgisayarların Windows 7 yeni keşfedilen güvenlik açıklarına karşı en savunmasız olanlardır. Şirket, yazı tipi ayrıştırma uzaktan kod yürütme güvenlik açığının Windows 7 sistemlerine yönelik "sınırlı hedefli saldırılarda" kullanıldığını belirtiyor. Windows 10 sistemlerine gelince, güvenlik açıklarının kapsamı oldukça sınırlıdır, tavsiye notu:
Microsoft, "Bir saldırganın güvenlik açığından yararlanmasının, bir kullanıcıyı özel hazırlanmış bir belgeyi açmaya ikna etmek veya onu Windows Önizleme bölmesinde görüntülemek gibi çeşitli yolları vardır" dedi. Henüz Windows 10, Windows 8.1 ve Windows 7 için bir düzeltme bulunmamakla birlikte şirket, "Windows 10'un desteklenen sürümlerini çalıştıran sistemler için başarılı bir saldırı, yalnızca sınırlı ayrıcalıklara ve yeteneklere sahip bir AppContainer korumalı alanı bağlamında kod yürütülmesine neden olabilir.
https://twitter.com/BleepinComputer/status/1242520156296921089
Microsoft, yeni keşfedilen güvenlik kusurlarının etkisinin kapsamı hakkında çok fazla ayrıntı sunmadı. Şirket, istismarların kötü amaçlı yükleri başarılı bir şekilde yürüttüğünü veya yalnızca denediğini belirtmedi.
Adobe Type Manager Kitaplığındaki Yeni Windows 0 Günlük RCE Güvenlik Açıklarına Karşı Nasıl Korunur?
Microsoft, yeni keşfedilen RCE güvenlik açıklarına karşı koruma sağlamak için henüz resmi olarak bir yama yayınlamadı. Yamaların Salı günü, büyük olasılıkla önümüzdeki hafta gelmesi bekleniyor. O zamana kadar Microsoft, aşağıdaki geçici çözümlerden birini veya birkaçını kullanmanızı öneriyor:
- Windows Gezgini'nde Önizleme Bölmesini ve Ayrıntılar Bölmesini Devre Dışı Bırakma
- WebClient hizmetini devre dışı bırakma
- ATMFD.DLL dosyasını yeniden adlandırın (bu ada sahip bir dosya içeren Windows 10 sistemlerinde) veya alternatif olarak dosyayı kayıt defterinden devre dışı bırakın
İlk önlem, Windows Gezgini'nin Açık Tip Yazı Tiplerini otomatik olarak görüntülemesini durduracaktır. Bu arada, bu önlem bazı saldırı türlerini önleyecektir, ancak yerel, kimliği doğrulanmış bir kullanıcının güvenlik açığından yararlanmak için özel olarak hazırlanmış bir programı çalıştırmasını engellemez.
WebClient hizmetini devre dışı bırakmak, saldırganların uzaktaki açıkları kullanmak için büyük olasılıkla kullanacağı vektörü engeller. Bu geçici çözüm, İnternet'ten rastgele programları açmadan önce kullanıcılardan onay istenmesine neden olacaktır. Bununla birlikte, saldırganların hedeflenen kullanıcının bilgisayarında veya yerel ağında bulunan programları çalıştırması hala mümkündür.
Önerilen son geçici çözüm, gömülü yazı tiplerine dayanan uygulamalar için görüntü sorunlarına neden olacağı ve OpenType yazı tiplerini kullanırlarsa bazı uygulamaların çalışmayı durdurmasına neden olabileceği için oldukça zahmetlidir.
Her zaman olduğu gibi, Windows işletim sistemi kullanıcıları, güvenilmeyen belgeleri görüntülemek için şüpheli isteklere karşı dikkatli olmaları konusunda uyarılır. Microsoft kalıcı bir düzeltme sözü verdi, ancak kullanıcılar doğrulanmamış veya güvenilir olmayan kaynaklardan gelen belgelere erişmekten veya bunları açmaktan kaçınmalıdır.