A Microsoft descobriu uma nova vulnerabilidade zero-day nos sistemas de processamento de fontes do Windows que permite a execução remota de código e o controle do computador comprometido.
A falha foi localizada na Biblioteca de Gestão de Fontes da Adobe (Adobe Type Manager Library) e impacta mais de 40 versões do sistema operacional, incluindo Windows 10, Windows 7, Windows 8, Windows Server 2008, 2012, 2016 e 2019.
Essa biblioteca foi criada há anos porque o sistema não era capaz de processar e mostrar na tela fontes específicas criadas pela Adobe, e ao longo dos anos a biblioteca foi incorporada aos builds do sistema operacional para não demandar instalações específicas para o uso de tipografias.
A vulnerabilidade pode ser explorada quando o Adobe Type Manager processa uma fonte no formato Adobe Type 1 PostScript especialmente criada por cibercriminosos para esse fim. A Microsoft indica no seu relatório de segurança ADV200006 que a exploração pode ocorrer de várias maneiras, como por exemplo, ao convencer um usuário a abrir um documento que carregue a fonte ou mesmo visualizar o arquivo no Painel de Visualização do Windows, que pode ser habilitado no Windows Explorer, veja no exemplo abaixo:
A Microsoft diz que ainda trabalha em um patch para corrigir a falha e que, possivelmente, ela será lançada na próxima Patch Tuesday, em 14 de abril. A empresa destaca ainda que exploração da falha é mais difícil nas versões mais novas do Windows, que impede a execução remota de código e a elevação de privilégios.
A Microsoft diz que ainda trabalha em um patch para corrigir a falha e que, possivelmente, ela será lançada na próxima Patch Tuesday, em 14 de abril. A empresa destaca ainda que exploração da falha é mais difícil nas versões mais novas do Windows, que impede a execução remota de código e a elevação de privilégios.
No entanto, 3 em cada 10 computadores ainda usam o Windows 7 ou versões anteriores do sistema operacional, de acordo com o Stat Counter. Nesses dispositivos é importante aplicar as ações de mitigação detalhadas no boletim de segurançaADV200006:
- Desabilitar o painel de visualização no Windows Explorer para que o sistema não mostre fontes OTF automaticamente
- Desabilitar o serviço WebClient para que as requisições WebDAV não sejam transmitidas
- Renomear a biblioteca ATMFD.DLL para que ela não seja carregada e impeça a visualização de fontes OTF
UPDATE: A Microsoft lançou uma atualização de segurança (patch) no dia 14/04 para corrigir o problema como noticiamos aqui. Acesse a página do boletim de segurança da empresa para verificar a atualização para a sua versão do sistema operacional.
Se você precisar de ajuda, conte com a gente!
