Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Microsoft waarschuwt voor remote code execution-zeroday in Windows

Microsoft waarschuwt gebruikers voor een beveiligingslek in Windows 10 waarmee een aanvaller op afstand code kan uitvoeren. Het bedrijf zegt dat de zeroday actief wordt misbruikt. Het lek zit in de Adobe Type Manager-library.

Het lek krijgt de naam ADV200006. Details erover staan op Microsofts website. Met het lek kunnen aanvallers een remote code execution uitvoeren op verschillende versies van het besturingssysteem. De code kan in de AppContainer-sandbox worden uitgevoerd met beperkte rechten. Het gaat specifiek om twee kwetsbaarheden, die zitten in de manier waarop de Adobe Type Manager-library in Windows omgaat met het specifieke multimasterfont Adobe Type 1 PostScript. Aanvallers kunnen dat uitbuiten door een slachtoffer een document te sturen met een macro waarin dat script wordt gebruikt, of door het document te laten openen in het Windows Preview-paneel.

Microsoft heeft aanwijzingen dat het lek actief wordt misbruikt. Het zou gaan om een klein aantal gerichte aanvallen. Het bedrijf zegt niet op wie die plaatsvinden. De kwetsbaarheid zit zowel in Windows 10 als in oudere versies, zoals Windows 7 en 8.1. Ook Windows Server 2008, 2012, 2016 en 2019 zijn kwetsbaar. Microsoft zegt dat het nog werkt aan een patch. Die komt hoogstwaarschijnlijk tijdens de komende Patch Tuesday uit. In de tussentijd adviseert het bedrijf over een mitigatie. Beheerders kunnen het Preview-paneel uitschakelen, of fontdvrhost.exe uitvoeren in de gebruikersmodus.

Door Tijs Hofmans

Redacteur privacy & security

24-03-2020 • 08:55

58 Linkedin

Submitter: n9iels

Reacties (58)

Wijzig sortering
Het onderstaande is denk niet echt correct vertaald:
..., die zitten in de manier waarop de Adobe Type Manager-library in Windows omgaat met het specifieke multimasterfont Adobe Type 1 PostScript. Aanvallers kunnen dat uitbuiten door een slachtoffer een document te sturen met een macro waarin dat script wordt gebruikt,...
"het specifieke multimasterfont": er is niet één multimasterfont, dat is font technologie; het artikel van Microsoft noemt "a specifically crafted multimasterfont".
"dat script": er is geen sprake van scripting. Mogelijk veroorzaakt door het noemen van PostScript? Dat is een page description language en dat multimasterfont is dus een PostScript Type1 font (weer meer font technologie)
Het eerste wat ik dacht na het lezen; preview pane? Ik ken het outlook preview pane maar de windows preview pane?
Blijkt te zitten in de verkenner onder de 'view' tab.
https://cdn.ablebits.com/_img-docs/general-faq/view-tab.png

Nu gebruik ik al heel wat jaartjes Windows besturings systemen maar blijbkaar heb ik deze feature nog nooit actief gebruikt. Ik browse naar het bestand en open die meteen.
Ik kan mij niet voorstellen dat veel mensen deze optie gebruiken. Dat wil natuurlijk niet zeggen dat het prima is dat zo'n execution zeroday gepatched wordt.
.

[Reactie gewijzigd door Tmaster op 24 maart 2020 09:07]

Ik kan mij niet voorstellen dat veel mensen deze optie gebruiken.
Als servicedesk medewerker kan ik je vertellen dat je voorstellingsvermogen helaas tekort schiet. Dit is vooral voor HR mensen een populaire feature omdat ze dan documenten gelijk vanuit een folder kunnen inzien. Voor ICT een bron van ellende omdat de document locks vervolgens weer in andere applicaties een probleem opleveren...
Ik gebruik juist het detailvenster. Daar kan je bij foto's en video's al een thumbnail zien en het geeft je meteen alle technische info. Vooral ook bij mp3/flac handig.
Volgens de pagina van microsoft dat gelinkt is in het artikel zijn de thumbnails dus ook kwetsbaar. Hoewel dit niet in het artikel benoemd is. Het gaat namelijk om de rendering van het bestand.
Disabling the Preview and Details panes in Windows Explorer prevents the automatic display of OTF fonts in Windows Explorer. While this prevents malicious files from being viewed in Windows Explorer, it does not prevent a local, authenticated user from running a specially crafted program to exploit this vulnerability. To disable these panes in Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, and Windows 8.1, perform the following steps:
  • Open Windows Explorer, click Organize, and then click Layout.
  • Clear both the Details pane and Preview pane menu options.
  • Click Organize, and then click Folder and search options.
  • Click the View tab.
  • Under Advanced settings, check the Always show icons, never thumbnails box.
  • Close all open instances of Windows Explorer for the change to take effect.
For Windows Server 2016, Windows 10, and Windows Server 2019, perform the following steps:
  • Open Windows Explorer, click the View tab.
  • Clear both the Details pane and Preview pane menu options.
  • Click Options, and then click Change folder and search options.
  • Click the View tab.
  • Under Advanced settings, check the Always show icons, never thumbnails box.
  • Close all open instances of Windows Explorer for the change to take effect.
@Pendaco Excuus, niet alles had ik meegenomen :)

[Reactie gewijzigd door mrdemc op 24 maart 2020 10:22]

To disable these panes in Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, and Windows 8.1, perform the following steps:
Vreemd dat Windows 10 daar niet tussen staat?

Bij een .doc of .txt krijg ik trouwens alleen het icoon van het programma te zien in het detailvenster. In mijn geval Libreoffice en Notepad++.

Maar het gaat dus niet alleen om een document maar ook een .otf (font) file? Die laat inderdaad de preview van het font ook in het detailvenster zien. Dan is het ook uitkijken voor gehackte font files de komende tijd?
ik ben juist bang dat er heel veel mensen deze functie gebruiken...

zo kijk ik meestal direct pdf's etc in zonder hem te moeten openen..
Dit is voor afbeeldingen heel handig. Gebruik het nooit voor documenten, wist ook niet dat het op deze manier door malware misbruikt kon worden eerlijk gezegd.
Misschien niet, maar erg goede functie en met Alt-P direct te openen. In het register ook mogelijk om ondersteuning voor extra extensies van bestanden toe te voegen. Heel fijn om grote (> 1000Mb) ASCII-bestanden even snel in te zien.
Je kan het je niet voorstellen, maar ik gebruik dit al jaren. De Preview Pane (in de NL versie Beeld) zet ik na een nieuwe installatie altijd gelijk op "Detailvenster", is best wel handig als je met foto's, schermafdrukken etc. werkt.
Zolang als Adobe bestaat zijn ze betrokken bij lekken helaas, vele vele jaren van lekken en erger.
Zolang als Adobe bestaat zijn ze betrokken bij lekken helaas, vele vele jaren van lekken en erger.
Dit komt niet van Adobe af, maar van MS zelf.

Het is een exploiteerbare bug in de wijze waarop Microsoft in hun zelf-geschreven DLL omgaat met PostScript fonts die in het Adobe Type 1 formaat geschreven zijn.
Volgens mij hebben ze die library niet gemaakt, die heeft Microsoft zelf gemaakt. Adobe maakt ook al meer dan 10 jaar geen PostScript printer driver meer, maar gebruikt die van Microsoft.
Two remote code execution vulnerabilities exist in Microsoft Windows when the Windows Adobe Type Manager Library improperly handles a specially-crafted multi-master font - Adobe Type 1 PostScript format.
Hoe kan het dat een Font je systeem exploiteert?
Of Windows als systeem is echt gebroken, of iemand heeft heeel lang zitten zoeken naar iets dergelijks.
Ik kan ook geen CVE vinden, lijkt er op dat MS deze zelf heeft aangekondigd. Wel zie ik meerdere CVE's m.b.t. fonts en RCE. 8)7
Integrated video codecs in Windows staan ook bekend om hun lekken, en sinds 99% van de lekken opt-out meuk is wat met een beetje tweak kennis kan worden uitgeschakeld...

Dit is het nadeel van een set and forget windows installatie van het gros van de gebruikers.

Je hebt gewoon te veel attack vectors die geëxploit kan worden.
Hmm wat zijn dat dan voor dingen, en hoe kun je ze uitschakelen?
Een PostScript Type3 font kan willekeurige PostScript bevatten, dus daar kun je nog veel meer mee ;)
Omdat een font toch net iets complexer kan zijn dan jij denkt. Jij denkt waarschijnlijk dat er maar 26 letters, 10 cijfers en enkele leestekens ondersteund moeten worden. Maar een font moet veel meer dan dat ondersteunen. Er is heel wat meer dan ons eenvoudige alfabet en daar moeten systemen ook mee overweg kunnen. Denk bijvoorbeeld maar aan hoe men in Aziätische landen soms woorden schrijft.
Let wel, van de pagina van Microsoft:
For systems running supported versions of Windows 10 a successful attack could only result in code execution within an AppContainer sandbox context with limited privileges and capabilities.
... dus aardig wat minder ernstig op alle nog ondersteunde versies van Windows 10.
... dus aardig wat minder ernstig op alle nog ondersteunde versies van Windows 10.
Het directe gevaar is minder, maar het indirecte gevaar is dat die beperkte rechten gebruikt worden om bijvoorbeeld een andere kwetsbaarheid (mogelijk op een ander systeem intern in het netwerk) te misbruiken.

Verder is local code execution altijd een rede tot zorg, mede door de vele CPU kwetsbaarheden.
Het kan ook zijn dat ze bedoelen dat het voor programma's die je binnen een AppContainer opstart, de uitbraak beperkt blijft.
Is dit nu een library die standaard in Windows zit, of alleen aanwezig is als je Adobe producten gebruikt?
standaard in windows om het multimasterfont Adobe Type 1 PostScript te kunnen interpreteren dat wordt gebruikt in documenten die je binnenkrijgt (of zelf aanmaakt).
Hoe weet je dat? Ik begrijp het dan niet, want hier zie je dat ATM een apart onderdeel is dat geïnstalleerd wordt met Adobe-producten: https://en.wikipedia.org/wiki/Adobe_Type_Manager

Bovendien werkt het previewpaneel alleen voor PDF's als je een filter installeert (bijvoorbeeld die met Adobe Reader wordt geïnstalleerd). Tenzij alle PDF-filters van het standaard in Windows ingebakken multimasterfont gebruik maken lijkt het me dus iets wat alleen onderdeel is van Adobe-producten.

Ik hoop dat ik het helemaal mis heb want ik gebruik dat previewpaneel veel. Even maar geen onbekende PDF's openen dan maar. :)
Het gaat om de Font Driver Host van Microsoft (fontdrvhost.exe). Als je het digital signature bekijkt dan zie je dat deze van Microsoft is en niet van Adobe.

Hmm, nee. Het gaan om atmfd.dll en schijnt dat deze ook van Microsoft is:
Hackers are exploiting a zero-day in the Adobe Type Manager Library (atmfd.dll) that ships with the Windows OS.
Link

[Reactie gewijzigd door angelina op 24 maart 2020 12:23]

Ships with Windows != made by Microsoft. Kan prima een DLL zijn gemaakt door Adobe, maar die door MS wordt meegeleverd met Windows. Net als de meest voorkomende drivers bijvoorbeeld.
Iemand al een how-to'tje voor het omzetten: "of fontdvrhost.exe uitvoeren in de gebruikersmodus."
Windows 10 1709+ doet dat, dus met een courante Windows 10 zit je goed.
In de podcast Darknet Diaries episode 57: MS08-067 wordt verteld door onder andere een Microsoft werknemer hoe ze in 2008 een zero day vonden zagen dat dat actief voor gerichte aanvallen werd gebruikt. Echt super interessant. Geeft je een kijkje in een vergelijkbare situatie en wat er waarschijnlijk ook de afgelopen dagen gebeurde bij MS, en hoe ze conclusies kunnen trekken over het misbruik en hypotheses op stellen waar dat vandaan komt. Nou was MS08-067 van een andere orde als dit, maar des al niet te min erg interessant.
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Font Drivers" /f

REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v DisableATMFD /t REG_DWORD /d 1 /f

REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System" /v EnableFontProviders /t REG_DWORD /d 0 /f

Alstu.

fontdrvhost.exe blokkeren van laden maakt Windows unbootable, niet proberen dus!

[Reactie gewijzigd door Marctraider op 24 maart 2020 12:02]

Er is ooit in een verre voorvader (was het NT) ook zo'n bug geweest rond postscript. Is dit toeval?
We hopen maar dat de fix er niet in gaat bestaan om deze functionaliteit af te zetten. Dat deed microsoft indertijd met office-conversie-addons om oudere formaten in te lezen. Dat is een slecht idee - fix uw bugs. En anders had dat feature er nooit mogen ingezeten hebben.
Microsoft - kuis uw rommeltje nu eens op - geen nieuwe features, geen nieuwe iconen, geen nieuw start menu, geen nieuwe browser - maar een grote opruimoperatie! Dat is nodig/nuttig.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True