دو آسیب‌پذیری بحرانی وصله‌نشده، تمامی نسخه‌های ویندوز را تحت تأثیر قرار می‌دهند

شرکت مایکروسافت با انتشار یک مشاوره‌نامه‌ی امنیتی جدید، از وجود دو آسیب‌پذیری بحرانی روز صفرم و وصله‌نشده که امکان کنترل راه دور رایانه‌های هدف را برای نفوذگرها فراهم می‌کنند، به میلیاردها کاربر هشدار داد. به گفته‌ی مایکروسافت، هر دو نقص که درحال‌حاضر در حملات مورد بهره‌برداری قرار گرفته‌اند، تمامی نسخه‌های پشتیبانی‌شده از سیستم عامل ویندوز، از جمله نسخه‌های ۱۰، ۸٫۱ ویندوز و سرور ۲۰۰۸، ۲۰۱۲، ۲۰۱۶ و ۲۰۱۹ و همچنین، ویندوز ۷ را که از تاریخ ۱۴ ژانویه‌ی سال جاری دیگر پشتیبانی نمی‌شود، تحت تأثیر قرار می‌دهند.

هر دوی این آسیب‌پذیری‌ها در Adobe Type Manager Library وجود دارند، یک نرم‌افزار تجزیه‌کننده‌ی فونت که نه‌تنها هنگام اجراشدن با یک نرم‌افزار شخص ثالث محتوا را تجزیه می‌کند، بلکه توسط Explorer ویندوز نیز، بدون نیاز به بازشدن توسط کاربر، برای نمایش محتوای یک فایل در «صفحه‌ی پیش‌نمایش- Preview Pane» یا «صفحه‌ی جزئیات- Details Pane» مورد استفاده قرار می‌گیرد.

به گفته‌ی محققان، این نقص‌ها هنگامی که Adobe Type Manager Library یک فونت اصلی چندگانه با فرمت Adobe Type 1 PostScript را به‌صورت نادرست کنترل کند، به مهاجمان راه دور اجازه می‌دهند تا با متقاعدکردن کاربر برای بازکردن یک سند طراحی‌شده یا مشاهده‌ی آن در صفحه‌ی پیش‌نمایش ویندوز، کد مخرب دلخواه را بر روی سیستم‌های هدف اجرا کنند. مایکروسافت اعلام کرد برای سیستم‌هایی که از نسخه‌ی ۱۰ ویندوز پشتیبانی می‌کنند، یک حمله‌ی موفقیت‌آمیز می‌تواند منجر به اجرای کد در محتوای جعبه‌ی شنی AppContainer با امتیازات و قابلیت‌های محدود شود.

درحال‌حاضر، اگرچه مشخص نیست که آیا می‌توان این آسیب‌پذیری‌ها را از راه دور، از طریق مرورگر وب و با متقاعدکردن کاربر برای بازدید از یک صفحه‌ی وب حاوی فونت‌های مخرب OTF، مورد بهره‌برداری قرار داد یا خیر، اما چندین راه دیگر برای بهره‌برداری از آن‌ها وجود دارد که از جمله‌ی آن‌ها می‌توان به سرویس کلاینت احراز هویت و نسخه‌بندی توزیع‌شده مبتنی‌بر وب (WebDAV) اشاره کرد.

مایکروسافت اعلام کرد که از وجود این آسیب‌پذیری‌ها آگاه بوده و به‌عنوان بخشی از به‌روزرسانی‌های ۱۴ آوریل، آن‌ها را برای تمامی کاربران ویندوز وصله خواهد کرد. درهمین‌حال، به تمامی کاربران به‌شدت توصیه می‌شود که برای جلوگیری از خطر نفوذ به سیستم توسط مهاجمان، قابلیت صفحه‌ی پیش‌نمایش و صفحه‌ی جزئیات را در Explorer ویندوز غیرفعال کنند. بااین‌وجود، لازم به ذکر است، درحالی‌که این راه‌حل از نمایش فایل‌های مخرب در Explorer ویندوز جلوگیری می‌کند، اما مانع از بارگیری کتابخانه‌ی آسیب‌پذیر تجزیه‌کننده‌ی فونت توسط نرم‌افزارهای قانونی شخص ثالث نخواهد شد.

علاوه‌براین، به کاربران توصیه می‌شود تا به‌منظور جلوگیری از راه‌اندازی حملات از طریق سرویس کلاینت WebDAV، این سرویس را نیز غیرفعال کنند. بااین‌حال، مایکروسافت توضیح می‌دهد که پس از غیرفعال‌کردن این سرویس، هنوز هم امکان بهره‌برداری موفقیت‌آمیز از این آسیب‌پذیری‌ها توسط مهاجمان راه دور وجود دارد، اما قبل از بازکردن برنامه‌های دلخواه از طریق اینترنت، نیاز به تأیید کاربران خواهد بود.

در نهایت، به‌منظور غیرفعال‌کردن موقت فناوری فونت تعبیه‌شده، که موجب توقف برخی از برنامه‌های شخص ثالث نیز می‌شود، مایکروسافت از کاربران می‌خواهد تا نام فایل Adobe Type Manager Font Driver (ATMFD.dll) را تغییر دهند.
منبع