Vulnerabilità 0Day su Microsoft Windows

Proto: N050320.

Con la presente Yoroi desidera informarla riguardo a due importanti vulnerabilità 0day all’interno dei sistemi operativi Microsoft Windows che affliggono le alcune funzionalità di sistema per il caricamento dei font testuali.

La problematica è causata da lacune nella gestione della memoria durante il caricamento di dei font all’interno delle librerie Adobe Type Manager (ATMFD.DLL), utilizzate dal sistema operativo per la visualizzazione di messaggi di testo, documenti, anteprime e pagine web. Un attaccante remoto può sfruttare queste lacune per eseguire codice arbitrario sulla macchina bersaglio convincendo l’utente a prendere visione di un documento, oppure semplicemente visualizzandone l’anteprima da Windows Explorer o Outlook, infettando così la macchina bersaglio ed installandovi impianti malware.  

Microsoft ha confermato la problematica attraverso il bollettino ADV200006 e sta lavorando al rilascio delle patch di sicurezza. Risultano afflitte le versioni del sistema operativo Microsoft Windows:

• Windows 10
• Windows 8.1 
• Windows 7 
• Windows Server 2008
• Windows Server 2012
• Windows Server 2012 R2
• Windows Server 2016
• Windows Server 2019

Le vulnerabilità in oggetto sono attualmente sfruttate da gruppi APT potenzialmente sponsorizzati da governi nazionali per la conduzione di operazioni di attacco mirate. Tradizionalmente, questa tipologia di attaccanti mira a penetrare organizzazioni ritenute strategiche per gli interessi nazionali, frequentemente in settori Energetico, Difesa, Oil & Gas (e non solo). Tuttavia, considerando l’emergenza sanitaria COVID-19 in atto ed i recenti tentativi di intrusione cibernetica registrati dalla World Health Organization (WHO), Yoroi consiglia di ritenere parte di questa categoria anche Centri di Ricerca medici, Healthcare, organizzazioni umanitarie ed industria del Farmaco.

Pertanto, Yoroi consiglia di monitorare il prossimo rilascio degli aggiornamenti di sicurezza di Microsoft e, nel frattempo, valutare l’applicazione delle mitigazioni temporanee indicate dal Produttore al parco macchine Aziendale, ovvero:

• Disabilitazione del Pannello di Anteprima (“Preview Pane”) e del Pannello di Dettaglio (Details Pane) in Windows Explorer
  • Aprire Windows Explorer, click su Organizza, ed in seguito su "Layout".
  • Deselezionare le opzioni “Details Pane” e “Preview Pane”
  • click su Organizza, in seguito click su “Folder and search options” ed apertura della tab Visualizzazione “View”.
  • Sotto Avanzate “Advanced settings”, inserire la spunta su “Always show icons, never thumbnails box” (mostrare sempre le icone).
  • Effettuare logoff-logon per riavviare tutte le istanze di Windows Exporer in esecuzione.
• Disabilitare il servizio “WebClient” 
  • Lanciare il comando “services.msc”
  • click destro su “WebClient service” e selezionare Proprietà.
  • Disabilitare l’avvio automatico e stoppare il servizio
• Rinominare la libreria di sistema “ATMFD.DLL”
  • Per sistemi a 32-bit, lanciare i comandi:
    • cd "%windir%\system32"
      takeown.exe /f atmfd.dll
      icacls.exe atmfd.dll /save atmfd.dll.acl
      icacls.exe atmfd.dll /grant Administrators:(F)
      rename atmfd.dll x-atmfd.dll
  • Per sistemi  64-bit, lanciare i comandi:
    • cd "%windir%\system32"
      takeown.exe /f atmfd.dll
      icacls.exe atmfd.dll /save atmfd.dll.acl
      icacls.exe atmfd.dll /grant Administrators:(F)
      rename atmfd.dll x-atmfd.dll
      cd "%windir%\syswow64"
      takeown.exe /f atmfd.dll
      icacls.exe atmfd.dll /save atmfd.dll.acl
      icacls.exe atmfd.dll /grant Administrators:(F)
      rename atmfd.dll x-atmfd.dll
  • Fare riferimento alla guida Microsoft in quanto esistono più modalità a seconda della versioni Microsoft Windows installata.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index