Problème d'analyse critique des polices dans Windows révélé (correction à l'intérieur)

Microsoft publié un avis hier concernant un problème d'analyse des polices récemment détecté qui affecte toutes les versions prises en charge du système d'exploitation Windows de l'entreprise (y compris Windows 7).

Le problème est considéré comme critique, le niveau de gravité le plus élevé. Microsoft note qu'il a connaissance d'attaques ciblées limitées et qu'il travaille sur un correctif pour fermer la vulnérabilité.

La vulnérabilité du code distant se trouve dans la bibliothèque Adobe Type Manager et les attaquants disposent de plusieurs options pour exploiter le problème, notamment convaincre les utilisateurs d'ouvrir un document spécialement conçu ou afficher le document dans le volet d'aperçu de l'Explorateur de fichiers / Windows.

Deux vulnérabilités d'exécution de code à distance existent dans Microsoft Windows lorsque la bibliothèque Windows Adobe Type Manager ne gère pas correctement une police multi-maître spécialement conçue - le format Adobe Type 1 PostScript.

Une solution de contournement a été publiée par Microsoft qui empêche les attaques ciblant Windows Explorer / File Explorer. Microsoft note que la solution de contournement n'empêche pas un utilisateur d'authentification local d'exécuter un programme spécialement conçu pour exploiter la vulnérabilité.

La solution de contournement:

Pour Windows 7, Windows 8.1 et Windows Server 2008 R2, 2012 et 2012 R2:

  1. Ouvrez une instance de l'Explorateur Windows et sélectionnez Organiser> Disposition.
  2. Désactivez les options du volet Détails et du volet Aperçu (si elles sont activées. Vous devez remarquer que les volets ne sont pas affichés lorsqu'ils sont désactivés)
  3. Sélectionnez Organiser> Options de dossier et de recherche.
  4. Basculez vers l'onglet Affichage.
  5. Sous Paramètres avancés, cochez 'Toujours afficher les icônes, jamais les vignettes'.
  6. Fermez toutes les instances de l'Explorateur Windows.

Pour Windows 10, Windows Server 2016 et 2019:

always show icons

  1. Ouvrez l'Explorateur de fichiers et passez à l'onglet Affichage lorsqu'il s'ouvre.
  2. Effacez le volet Détails et aperçu afin qu'ils ne s'affichent plus dans l'Explorateur de fichiers (s'ils étaient affichés précédemment).
  3. Sélectionnez Fichier> Modifier le dossier et les options de recherche.
  4. Cochez Toujours afficher les icônes, jamais les vignettes dans les paramètres avancés.
  5. Fermez toutes les instances de l'Explorateur de fichiers pour que les modifications prennent effet.

Les modifications peuvent être annulées une fois que le correctif a atterri dans Windows. Répétez simplement les étapes décrites ci-dessus, mais au lieu d'effacer ou de vérifier les options, vous feriez le contraire.

Pour les systèmes sur lesquels le service WebClient est utilisé, Microsoft recommande de désactiver le service pour le moment car il bloque «le vecteur d'attaque à distance le plus probable via le service client WebDAV (Web Distributed Authoring and Versioning)».

La désactivation du service entraînera la non-transmission des requêtes WebDAV. De plus, tout service qui dépend du service WebClient ne démarrera pas.

Voici comment cela se fait:

  1. Utilisez Windows-R pour afficher une boîte d'exécution.
  2. Tapez services.msc et cliquez sur OK pour ouvrir la fenêtre Gestion des services.
  3. Recherchez WebClient dans la liste des services, cliquez dessus avec le bouton droit de la souris et sélectionnez Propriétés.
  4. Basculez le type de démarrage sur Désactivé.
  5. Si WebClient est en cours d'exécution, sélectionnez Arrêter.
  6. Cliquez sur ok et fermez l'interface de gestion des services.

Les administrateurs qui gèrent Windows 10 version 1703 et les systèmes antérieurs, y compris Windows 8.1 et 7, peuvent également désactiver ATMFD à l'aide du registre.

Voici le script que vous devez exécuter:

Éditeur du registre Windows version 5.00
[HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion Windows]
'DisableATMFD' = dword: 00000001

Les systèmes Windows 7 non ESU ne recevront pas la mise à jour de sécurité selon Microsoft.