Microsoft waarschuwt voor remote code execution-zeroday in Windows

Microsoft waarschuwt gebruikers voor een beveiligingslek in Windows 10 waarmee een aanvaller op afstand code kan uitvoeren. Het bedrijf zegt dat de zeroday actief wordt misbruikt. Het lek zit in de Adobe Type Manager-library.

Het lek krijgt de naam ADV200006. Details erover staan op Microsofts website. Met het lek kunnen aanvallers een remote code execution uitvoeren op verschillende versies van het besturingssysteem. De code kan in de AppContainer-sandbox worden uitgevoerd met beperkte rechten. Het gaat specifiek om twee kwetsbaarheden, die zitten in de manier waarop de Adobe Type Manager-library in Windows omgaat met het specifieke multimasterfont Adobe Type 1 PostScript. Aanvallers kunnen dat uitbuiten door een slachtoffer een document te sturen met een macro waarin dat script wordt gebruikt, of door het document te laten openen in het Windows Preview-paneel.

Microsoft heeft aanwijzingen dat het lek actief wordt misbruikt. Het zou gaan om een klein aantal gerichte aanvallen. Het bedrijf zegt niet op wie die plaatsvinden. De kwetsbaarheid zit zowel in Windows 10 als in oudere versies, zoals Windows 7 en 8.1. Ook Windows Server 2008, 2012, 2016 en 2019 zijn kwetsbaar. Microsoft zegt dat het nog werkt aan een patch. Die komt hoogstwaarschijnlijk tijdens de komende Patch Tuesday uit. In de tussentijd adviseert het bedrijf over een mitigatie. Beheerders kunnen het Preview-paneel uitschakelen, of fontdvrhost.exe uitvoeren in de gebruikersmodus.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 24-03-2020 08:55
59 • submitter: n9iels

24-03-2020 • 08:55

59 Linkedin

Submitter: n9iels

Lees meer

Microsoft verhelpt 87 beveiligingsproblemen tijdens Patch Tuesday Nieuws van 14 oktober 2020
Microsoft repareert twee zerodays in Windows tijdens Patch Tuesday Nieuws van 12 augustus 2020
Microsoft dicht 111 kwetsbaarheden tijdens Patch Tuesday Nieuws van 13 mei 2020
Onderzoeker publiceert zerodays IBM-software nadat IBM weigerde patch te maken Nieuws van 23 april 2020
Microsoft repareert met Windows 10-update zerodays die actief werden misbruikt Nieuws van 15 april 2020
Mozilla repareert twee use-after-free-zerodays in Firefox Nieuws van 6 april 2020
OpenWRT bevat beveiligingslek dat remote code execution mogelijk maakt Nieuws van 1 april 2020
Mitigatie voor zeroday in Internet Explorer maakt Windows-onderdelen stuk Nieuws van 27 januari 2020
Microsoft brengt patch uit voor bug die certificaat-spoofing mogelijk maakt Nieuws van 14 januari 2020
Remote code execution-zeroday in forumsoftware vBulletin is online gezet Nieuws van 25 september 2019
Microsoft brengt noodpatch uit voor zeroday in Internet Explorer Nieuws van 24 september 2019
Meer producten en artikelen
Beveiliging en antivirus Microsoft Windows

Reacties (59)

-Moderatie-faq
59
58
40
4
0
7
Wijzig sortering
Nappie
24 maart 2020 09:30
Het onderstaande is denk niet echt correct vertaald:
..., die zitten in de manier waarop de Adobe Type Manager-library in Windows omgaat met het specifieke multimasterfont Adobe Type 1 PostScript. Aanvallers kunnen dat uitbuiten door een slachtoffer een document te sturen met een macro waarin dat script wordt gebruikt,...
"het specifieke multimasterfont": er is niet één multimasterfont, dat is font technologie; het artikel van Microsoft noemt "a specifically crafted multimasterfont".
"dat script": er is geen sprake van scripting. Mogelijk veroorzaakt door het noemen van PostScript? Dat is een page description language en dat multimasterfont is dus een PostScript Type1 font (weer meer font technologie)
Tmaster
24 maart 2020 09:05
Het eerste wat ik dacht na het lezen; preview pane? Ik ken het outlook preview pane maar de windows preview pane?
Blijkt te zitten in de verkenner onder de 'view' tab.
https://cdn.ablebits.com/_img-docs/general-faq/view-tab.png

Nu gebruik ik al heel wat jaartjes Windows besturings systemen maar blijbkaar heb ik deze feature nog nooit actief gebruikt. Ik browse naar het bestand en open die meteen.
Ik kan mij niet voorstellen dat veel mensen deze optie gebruiken. Dat wil natuurlijk niet zeggen dat het prima is dat zo'n execution zeroday gepatched wordt.
.

[Reactie gewijzigd door Tmaster op 24 maart 2020 09:07]

Aetje
@Tmaster24 maart 2020 14:58
Ik kan mij niet voorstellen dat veel mensen deze optie gebruiken.
Als servicedesk medewerker kan ik je vertellen dat je voorstellingsvermogen helaas tekort schiet. Dit is vooral voor HR mensen een populaire feature omdat ze dan documenten gelijk vanuit een folder kunnen inzien. Voor ICT een bron van ellende omdat de document locks vervolgens weer in andere applicaties een probleem opleveren...
Pendaco
@Tmaster24 maart 2020 09:53
Ik gebruik juist het detailvenster. Daar kan je bij foto's en video's al een thumbnail zien en het geeft je meteen alle technische info. Vooral ook bij mp3/flac handig.
mrdemc
@Pendaco24 maart 2020 10:06
Volgens de pagina van microsoft dat gelinkt is in het artikel zijn de thumbnails dus ook kwetsbaar. Hoewel dit niet in het artikel benoemd is. Het gaat namelijk om de rendering van het bestand.
Disabling the Preview and Details panes in Windows Explorer prevents the automatic display of OTF fonts in Windows Explorer. While this prevents malicious files from being viewed in Windows Explorer, it does not prevent a local, authenticated user from running a specially crafted program to exploit this vulnerability. To disable these panes in Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, and Windows 8.1, perform the following steps:
  • Open Windows Explorer, click Organize, and then click Layout.
  • Clear both the Details pane and Preview pane menu options.
  • Click Organize, and then click Folder and search options.
  • Click the View tab.
  • Under Advanced settings, check the Always show icons, never thumbnails box.
  • Close all open instances of Windows Explorer for the change to take effect.
For Windows Server 2016, Windows 10, and Windows Server 2019, perform the following steps:
  • Open Windows Explorer, click the View tab.
  • Clear both the Details pane and Preview pane menu options.
  • Click Options, and then click Change folder and search options.
  • Click the View tab.
  • Under Advanced settings, check the Always show icons, never thumbnails box.
  • Close all open instances of Windows Explorer for the change to take effect.
@Pendaco Excuus, niet alles had ik meegenomen :)

[Reactie gewijzigd door mrdemc op 24 maart 2020 10:22]

Pendaco
@mrdemc24 maart 2020 10:15
To disable these panes in Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, and Windows 8.1, perform the following steps:
Vreemd dat Windows 10 daar niet tussen staat?

Bij een .doc of .txt krijg ik trouwens alleen het icoon van het programma te zien in het detailvenster. In mijn geval Libreoffice en Notepad++.

Maar het gaat dus niet alleen om een document maar ook een .otf (font) file? Die laat inderdaad de preview van het font ook in het detailvenster zien. Dan is het ook uitkijken voor gehackte font files de komende tijd?
BeosBeing
@Pendaco25 maart 2020 12:38
Bij een .doc of .txt krijg ik trouwens alleen het icoon van het programma te zien in het detailvenster. In mijn geval Libreoffice en Notepad++.
Dat ligt er dan misschien aan dat je LibreOffice gebruikt ipv Word/MsOffice en Npp i.p.v. Notepad als standaard tekstviewer hebt ingesteld. Het instellen van andere PDF-viewers zoals Foxit-reader, SumatraPDF of Evince was vroeger ook een goede beveiliging tegen misbruik van gaten in Adobe Reader of Acrobat. Inmiddels is Foxit-reader ook al niet veilig meer, het ondersteunt gewoon teveel features.
furian88
@Tmaster24 maart 2020 09:12
ik ben juist bang dat er heel veel mensen deze functie gebruiken...

zo kijk ik meestal direct pdf's etc in zonder hem te moeten openen..
AuteurTijsZonderH
@Tmaster24 maart 2020 09:12
Dit is voor afbeeldingen heel handig. Gebruik het nooit voor documenten, wist ook niet dat het op deze manier door malware misbruikt kon worden eerlijk gezegd.
Orthodroom
@Tmaster24 maart 2020 17:19
Misschien niet, maar erg goede functie en met Alt-P direct te openen. In het register ook mogelijk om ondersteuning voor extra extensies van bestanden toe te voegen. Heel fijn om grote (> 1000Mb) ASCII-bestanden even snel in te zien.
hanssie_g
@Tmaster24 maart 2020 19:46
Je kan het je niet voorstellen, maar ik gebruik dit al jaren. De Preview Pane (in de NL versie Beeld) zet ik na een nieuwe installatie altijd gelijk op "Detailvenster", is best wel handig als je met foto's, schermafdrukken etc. werkt.
alexanderjcs
24 maart 2020 09:30
Zolang als Adobe bestaat zijn ze betrokken bij lekken helaas, vele vele jaren van lekken en erger.
R4gnax
@alexanderjcs24 maart 2020 12:59
Zolang als Adobe bestaat zijn ze betrokken bij lekken helaas, vele vele jaren van lekken en erger.
Dit komt niet van Adobe af, maar van MS zelf.

Het is een exploiteerbare bug in de wijze waarop Microsoft in hun zelf-geschreven DLL omgaat met PostScript fonts die in het Adobe Type 1 formaat geschreven zijn.
PageFault
@alexanderjcs24 maart 2020 10:25
Volgens mij hebben ze die library niet gemaakt, die heeft Microsoft zelf gemaakt. Adobe maakt ook al meer dan 10 jaar geen PostScript printer driver meer, maar gebruikt die van Microsoft.
batteries4ever
@alexanderjcs24 maart 2020 09:44
Precies mijn gedachte.... zou het leven zonder Adobe niet beter worden?
metalmania_666
@batteries4ever24 maart 2020 12:44
Mmmmmm wat zou je denken van het PDF formaat?
Photoshop en Lightroom?
BeosBeing
@metalmania_66625 maart 2020 12:58
Alternatieven voor PDF:
-> XPS (Microsoft, had ook nooit bestaan als PDF er niet geweest was, Windows-only (al ondersteund Evince het inmiddels ook) dus geen goede keus.
-> DjVu
-> DVI

Alternatieven voor Lightroom:
-> Darktable
-> LightZone
-> Rawtherapee
-> Capture One Pro
-> Hasselblad Phocus
-> Skylum Luminar.
Discontinued: Bibble Pro
Discontinued: Apple Aperture, opvolger Photos

Alternatief voor Photoshop - dat is wat lastiger
-> Corel Photo-Paint
-> Corel Paint-Shop Pro
-> Gimp, GimPhoto, GimShop
ManIkWeet
@batteries4ever24 maart 2020 09:52
Adobe heeft ook heel veel goede dingen voor elkaar gekregen.
Als ze nooit Flash hadden gemaakt/onderhouden (hoe buggy het ook was), hadden we dan hetzelfde internet als nu?

[Reactie gewijzigd door ManIkWeet op 24 maart 2020 10:34]

Blokker_1999
@ManIkWeet24 maart 2020 10:27
Ja, want Flash komt origineel niet van Adobe maar van Macromedia.

Maar inderdaad, Adobe heeft ons ook heel wat goede dingen gebracht, ondanks de bugs die er soms inzitten.
Mangu429
@ManIkWeet24 maart 2020 10:00
Ja, een zonder Flash en dat werkt uitstekend.
SunnieNL
@Mangu42924 maart 2020 10:25
ja nu wel.. .maar vergeet niet in welke tijd Flash is gemaakt.
Weinig standaarden op dat gebied, minder krachtige browsers, etc.

De vraag is of we die standaarden zoals html5 etc. wel gekregen hadden zonder flash. Of dat we dan nu allemaal met Silverlight aan het werk waren ;-)

[Reactie gewijzigd door SunnieNL op 24 maart 2020 10:25]

ManIkWeet
@Mangu42924 maart 2020 10:26
Nu wel, maar de vraag is of dat net zo goed had gewerkt als Flash nooit bestaan had.
"Leer van de fouten van een ander."
Cergorach
@ManIkWeet24 maart 2020 11:50
De vraag is zelfs, zou het internet nu wel zo populair zijn geweest als het nu is zonder flash, dat was immers de video streamings methode voor jaren en jaren.
PageFault
@ManIkWeet24 maart 2020 10:24
Macromedia heeft Flash gemaakt, daarna heeft Adobe Macromedia in 2005 gekocht om een concurrent uit te roeien (vanwege DreamWeaver en Freehand) om het een stille dood te laten sterven.
ManIkWeet
@PageFault24 maart 2020 10:25
Oké, maar Adobe heeft na het overkopen wel verdere ontwikkeling gedaan voor Flash
D0phoofd
24 maart 2020 09:58
Two remote code execution vulnerabilities exist in Microsoft Windows when the Windows Adobe Type Manager Library improperly handles a specially-crafted multi-master font - Adobe Type 1 PostScript format.
Hoe kan het dat een Font je systeem exploiteert?
Of Windows als systeem is echt gebroken, of iemand heeft heeel lang zitten zoeken naar iets dergelijks.
Ik kan ook geen CVE vinden, lijkt er op dat MS deze zelf heeft aangekondigd. Wel zie ik meerdere CVE's m.b.t. fonts en RCE. 8)7
Marctraider
@D0phoofd24 maart 2020 11:40
Integrated video codecs in Windows staan ook bekend om hun lekken, en sinds 99% van de lekken opt-out meuk is wat met een beetje tweak kennis kan worden uitgeschakeld...

Dit is het nadeel van een set and forget windows installatie van het gros van de gebruikers.

Je hebt gewoon te veel attack vectors die geëxploit kan worden.
Cerberus_tm
@Marctraider24 maart 2020 22:59
Hmm wat zijn dat dan voor dingen, en hoe kun je ze uitschakelen?
PageFault
@D0phoofd24 maart 2020 10:26
Een PostScript Type3 font kan willekeurige PostScript bevatten, dus daar kun je nog veel meer mee ;)
Blokker_1999
@D0phoofd24 maart 2020 10:30
Omdat een font toch net iets complexer kan zijn dan jij denkt. Jij denkt waarschijnlijk dat er maar 26 letters, 10 cijfers en enkele leestekens ondersteund moeten worden. Maar een font moet veel meer dan dat ondersteunen. Er is heel wat meer dan ons eenvoudige alfabet en daar moeten systemen ook mee overweg kunnen. Denk bijvoorbeeld maar aan hoe men in Aziätische landen soms woorden schrijft.
NTAuthority
24 maart 2020 09:01
Let wel, van de pagina van Microsoft:
For systems running supported versions of Windows 10 a successful attack could only result in code execution within an AppContainer sandbox context with limited privileges and capabilities.
... dus aardig wat minder ernstig op alle nog ondersteunde versies van Windows 10.
The Zep Man
@NTAuthority24 maart 2020 09:29
... dus aardig wat minder ernstig op alle nog ondersteunde versies van Windows 10.
Het directe gevaar is minder, maar het indirecte gevaar is dat die beperkte rechten gebruikt worden om bijvoorbeeld een andere kwetsbaarheid (mogelijk op een ander systeem intern in het netwerk) te misbruiken.

Verder is local code execution altijd een rede tot zorg, mede door de vele CPU kwetsbaarheden.
Henk Poley
@NTAuthority24 maart 2020 13:07
Het kan ook zijn dat ze bedoelen dat het voor programma's die je binnen een AppContainer opstart, de uitbraak beperkt blijft.
michaelkamen
24 maart 2020 09:16
Is dit nu een library die standaard in Windows zit, of alleen aanwezig is als je Adobe producten gebruikt?
mhoir
@michaelkamen24 maart 2020 09:40
standaard in windows om het multimasterfont Adobe Type 1 PostScript te kunnen interpreteren dat wordt gebruikt in documenten die je binnenkrijgt (of zelf aanmaakt).
TimoDimo
@mhoir24 maart 2020 11:10
Hoe weet je dat? Ik begrijp het dan niet, want hier zie je dat ATM een apart onderdeel is dat geïnstalleerd wordt met Adobe-producten: https://en.wikipedia.org/wiki/Adobe_Type_Manager

Bovendien werkt het previewpaneel alleen voor PDF's als je een filter installeert (bijvoorbeeld die met Adobe Reader wordt geïnstalleerd). Tenzij alle PDF-filters van het standaard in Windows ingebakken multimasterfont gebruik maken lijkt het me dus iets wat alleen onderdeel is van Adobe-producten.

Ik hoop dat ik het helemaal mis heb want ik gebruik dat previewpaneel veel. Even maar geen onbekende PDF's openen dan maar. :)
angelina
@TimoDimo24 maart 2020 12:15
Het gaat om de Font Driver Host van Microsoft (fontdrvhost.exe). Als je het digital signature bekijkt dan zie je dat deze van Microsoft is en niet van Adobe.

Hmm, nee. Het gaan om atmfd.dll en schijnt dat deze ook van Microsoft is:
Hackers are exploiting a zero-day in the Adobe Type Manager Library (atmfd.dll) that ships with the Windows OS.
Link

[Reactie gewijzigd door angelina op 24 maart 2020 12:23]

McBacon
@angelina24 maart 2020 15:27
Ships with Windows != made by Microsoft. Kan prima een DLL zijn gemaakt door Adobe, maar die door MS wordt meegeleverd met Windows. Net als de meest voorkomende drivers bijvoorbeeld.
Vinnie2k
24 maart 2020 11:09
Iemand al een how-to'tje voor het omzetten: "of fontdvrhost.exe uitvoeren in de gebruikersmodus."
Ultra
@Vinnie2k24 maart 2020 13:25
Windows 10 1709+ doet dat, dus met een courante Windows 10 zit je goed.
Vinnie2k
@Ultra24 maart 2020 22:36
Dank! Kon het zo snel ff niet vinden..
jmzeeman
24 maart 2020 09:35
In de podcast Darknet Diaries episode 57: MS08-067 wordt verteld door onder andere een Microsoft werknemer hoe ze in 2008 een zero day vonden zagen dat dat actief voor gerichte aanvallen werd gebruikt. Echt super interessant. Geeft je een kijkje in een vergelijkbare situatie en wat er waarschijnlijk ook de afgelopen dagen gebeurde bij MS, en hoe ze conclusies kunnen trekken over het misbruik en hypotheses op stellen waar dat vandaan komt. Nou was MS08-067 van een andere orde als dit, maar des al niet te min erg interessant.
Marctraider
24 maart 2020 12:00
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Font Drivers" /f

REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v DisableATMFD /t REG_DWORD /d 1 /f

REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System" /v EnableFontProviders /t REG_DWORD /d 0 /f

Alstu.

fontdrvhost.exe blokkeren van laden maakt Windows unbootable, niet proberen dus!

[Reactie gewijzigd door Marctraider op 24 maart 2020 12:02]

mutley69
24 maart 2020 12:19
Er is ooit in een verre voorvader (was het NT) ook zo'n bug geweest rond postscript. Is dit toeval?
We hopen maar dat de fix er niet in gaat bestaan om deze functionaliteit af te zetten. Dat deed microsoft indertijd met office-conversie-addons om oudere formaten in te lezen. Dat is een slecht idee - fix uw bugs. En anders had dat feature er nooit mogen ingezeten hebben.
Microsoft - kuis uw rommeltje nu eens op - geen nieuwe features, geen nieuwe iconen, geen nieuw start menu, geen nieuwe browser - maar een grote opruimoperatie! Dat is nodig/nuttig.
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee