Data ultimo aggiornamento: 14 aprile
Microsoft ha pubblicato un avviso che riguarda due vulnerabilità presenti in Adobe Type Manager Library. Secondo quanto informa la compagnia, alcuni cybercriminali le hanno già sfruttate in attacchi mirati. Il 14 aprile, Microsoft ha rilasciato gli aggiornamenti di sicurezza rivolti a risolvere queste vulnerabilità.
Cos’è Adobe Type Manager Library e perché è vulnerabile
In passato, per visualizzare i font di proprietà di Adobe, talvolta era necessario installare un software aggiuntivo chiamato Adobe Type Manager. Non era affatto comodo per gli utenti finali, per cui Adobe alla fine ha deciso di aprire le specifiche dei suoi formati e Microsoft ha potuto integrare questo supporto per font nei suoi sistemi operativi. A questo serve Windows Adobe Type Manager Library.
Secondo Microsoft, il problema risiede nel modo in cui la libreria gestisce i font di un particolare formato, Adobe Type 1 PostScript. Un cybercriminale può manipolare un font Type 1 PostScript in modo tale da poter eseguire un codice arbitrario su un dispositivo Windows. Per sfruttare questa vulnerabilità esistono diversi vettori di attacco: i cybercriminali potrebbero convincere in qualche modo la vittima ad aprire un documento dannoso o semplicemente a visualizzarlo mediante il riquadro di Anteprima (ci riferiamo all’anteprima del sistema, non alla funzionalità simile presente nel client di posta Microsoft Outlook).
Inoltre, i cybercriminali possono sfruttare questa vulnerabilità mediante un estensione del protocollo HTTP chiamata Web Distributed Authoring and Versioning (WebDAV), che consente agli utenti di collaborare a un documento.
Microsoft suggerisce di disattivare il servizio WebClient, che permette l’uso di questa funzionalità e sottolinea che si tratta del più probabile vettore di attacco da remoto.
Quali sono i sistemi vulnerabili?
La vulnerabilità è presente in 40 versioni diverse dei sistemi operativi Windows 10, Windows 7, Windows 8.1, Windows Server 2008, Windows Server 2012, Windows Server 2016 e Windows Server 2019. L’avviso di sicurezza ADV200006 di Microsoft include l’elenco completo dei sistemi vulnerabili.
In ogni caso, la compagnia specifica che nelle versioni con supporto di Windows 10, se un attacco andasse a buon fine, il codice dannoso potrebbe essere eseguito solo nella sandbox AppContainer, con funzionalità e privilegi limitati.
Aggiornamento: secondo Microsoft, è improbabile che la vulnerabilità possa essere sfruttata su Windows 10. La compagnia ha abbassato il livello di gravità della vulnerabilità da “critica” a “importante” e per questo sistema operativo sconsigliano qualsiasi workaround. Inoltre, Microsoft sottlinea che gli attacchi mirati hanno interessato i sistemi Windows 7.
Esiste una patch?
Il 14 aprile, Microsoft ha rilasciato gli aggiornamenti di sicurezza rivolti a risolvere queste vulnerabilità.
Cosa fare?
Per quanto ci riguarda, vi consigliamo di utilizzare una soluzione di sicurezza affidabile in grado di proteggere le e-mail (il modo più comune per inviare documenti dannosi) e di dotarvi anche di una soluzione di protezione per endpoint che possa bloccare l’attività dannosa, exploit compresi. Entrambi i compiti possono essere eseguiti dal nostro Kaspersky Endpoint Security for Business Advanced. Inutile dire che fareste meglio a non aprire documenti e allegati e-mail se non siete sicuri al 100% del mittente.
Non essendo ancora disponibili le patch, Microsoft suggerisce le seguenti operazioni per ridurre i rischi:
- Disattivate i riquadri di anteprima e dei dettagli;
- Disattivate il servizio Webclient (che a sua volta disattiverà WebDAV);
- Disattivate la libreria ATMFD.DLL.
Per eseguire queste tre operazioni troverete informazioni dettagliate nell’avviso di sicurezza di Microsoft. Vogliamo far presente che, quando verrà disattivato il servizio Webclient, come conseguenza non saranno più gestite le richieste WebdDAV e le applicazioni che si affidano a WebDAV non funzioneranno correttamente. Lo stesso vale per la disattivazione di ATMFD.DLL: le applicazioni che se ne avvalgono non funzioneranno in modo adeguato.