Theo Microsoft, cả hai lỗ hổng đang bị khai thác ở phạm vi hạn chế. Chúng nhắm và tác động đến tất cả các phiên bản được hỗ trợ của hệ điều hành Windows như Windows desktop (10, 8.1) và Server (2008, 2012, 2016 và 2019). Kể cả phiên bản Windows 7 đã kết thúc hỗ trợ vào ngày 14/1 vừa rồi cũng bị ảnh hưởng.
Hai lỗ hổng được phát hiện tồn tại trong Windows Adobe Type Manager Library (ATML). Đây là một phần mềm phân tích phông chữ có thể phân tích nội dung khi mở bằng phần mềm bên thứ 3. Nó cũng được Windows Explorer sử dụng để hiển thị nội dung của tệp trong ‘Preview Pane’ hay ‘Details Pane’ mà không cần mở tệp.
Các lỗ hổng xuất hiện trong hệ thống khi ATML thực hiện sai xử lý phông chữ multi-master có thiết kế đặc biệt, hay chính là phông Adobe Type 1 PostScript. Từ đó, cho phép kẻ tấn công từ xa thực thi mã độc tùy ý trên các hệ thống bằng cách lừa người dùng mở hoặc xem những tài liệu độc hại trong Windows Preview.
Microsoft cho biết, nếu các hệ thống sử dụng phiên bản Windows 10 bị tấn công thì sẽ dẫn đến việc chạy mã trong AppContainer sandbox với một số đặc quyền và khả năng hạn chế.
Hiện tại, vẫn chưa biết liệu việc đánh lừa người dùng truy cập trang web chứa phông chữ OTF độc hại có thể kích hoạt lỗi từ xa trên trình duyệt web hay không. Tuy nhiên, vẫn có nhiều cách khai thác lỗ hổng khác như thông qua hệ thống quản lý chứng thực và phiên bản trên web (Web Distributed Authoring and Versioning).
Microsoft cho biết họ ý thức được sự nghiêm trọng của vấn đề và vẫn đang cố gắng khắc phục lỗ hổng. Hãng sẽ phát hành bản vá cho tất cả người dùng Windows như một phần của bản cập nhật Patch Tuesday vào ngày 14/4 tới đây. Tuy nhiên, Microsoft cũng cho biết các cấu hình bảo mật nâng cao không có tác dụng với lỗ hổng này.
.jpg)
Để tạm thời phòng tránh việc khai thác lỗ hổng, hãng đưa ra 3 khuyến cáo đối với người dùng.
Khuyến cáo 1: vô hiệu hóa Preview Pane và Details Pane trong Windows Explorer
Người dùng Windows được khuyến nghị nên vô hiệu hóa tính năng Preview Pane và Details Pane trong Windows Explorer để giảm nguy cơ bị tấn công.
Để tắt tính năng Preview Pane và Details Pane, người dùng mở Windows Explorer, chọn Organize/ Layout. Bỏ lựa chọn Details pane và Preview pane. Tiếp tục lựa chọn Organize/ Folder and search options/ View tab. Trong Advanced settings, người dùng chọn Always show icons, never thumbnails box và đóng tất cả các tab của Windows Explorer để thay đổi được thực hiện.
Tuy nhiên, cách làm này chỉ ngăn các tệp độc hại được xem trong Windows Explorer chứ không chặn phần mềm hợp pháp của bên thứ 3 bất kỳ tải thư viện ATML.
Khuyến cáo 2: vô hiệu hóa dịch vụ WebClient
Bên cạnh đó, người dùng được khuyến cáo tắt dịch vụ Windows WebClient để ngăn chặn các cuộc tấn công mạng thông qua WebDAV.
Bằng cách, chọn Start/Run (hoặc nhấn tổ hợp Windows + R), nhập Services.msc rồi bấm Enter. Sau đó, người dùng bấm chuột phải vào WebClient/Properties, thay đổi loại Startup type thành Disable. Lưu ý, nếu dịch vụ đang chạy thì người dùng cần chọn trạng thái Stop trước khi thực hiện thay đổi. Cuối cùng, bấm chọn OK để lưu và thoát khỏi ứng dụng quản lý.
Microsoft cảnh báo, hướng dẫn này sẽ giúp người dùng được cảnh báo trước khi mở các chương trình từ Internet. Tuy nhiên, tin tặc vẫn có thể khai thác thành công lỗ hổng này từ xa, khiến hệ thống chạy các chương trình nằm trên máy tính của người dùng được nhắm mục tiêu hoặc Mạng cục bộ (LAN)
Khuyến cáo 3: Đổi tên hoặc Vô hiệu hóa ATMFD.DLL
Một cách khác, Microsoft cũng đang kêu gọi người dùng đổi tên tệp Adobe Type Manager Font Driver (ATMFD.dll) để tạm thời vô hiệu hóa công nghệ phông chữ nhúng, điều này có thể khiến một số ứng dụng của bên thứ 3 ngừng hoạt động. Để vô hiệu hóa, người dùng thực thi các lệnh sau tại CMD với quyền quản trị.
Với hệ thống 32-bit
cd “%windir%\system32”
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F)
rename atmfd.dll x-atmfd.dll
Với hệ thống 64-bit
cd “%windir%\system32”
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F)
rename atmfd.dll x-atmfd.dll
cd “%windir%\syswow64”
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F)
rename atmfd.dll x-atmfd.dll
Sau thực hiện, người dùng cần khởi động hệ thống để áp dụng các thay đổi.
Trí Công
The Hacker News
12:00 | 03/01/2021
11:00 | 07/05/2021
08:00 | 26/06/2020
10:00 | 18/10/2024
Công ty bảo mật Zimperium (Mỹ) đã xác định được 40 biến thể mới của trojan ngân hàng TrickMo trên Android. Các biến thể này được liên kết với 16 chương trình dropper (một loại trojan horse để cài đặt phần mềm độc hại) và 22 cơ sở hạ tầng của máy chủ điều khiển và ra lệnh (C2) riêng biệt, với các tính năng mới để đánh cắp mã PIN Android.
16:00 | 27/09/2024
Một chiến dịch quốc tế phối hợp giữa các cơ quan thực thi pháp luật đã thành công trong việc triệt phá một mạng lưới tội phạm tinh vi chuyên mở khóa điện thoại di động bị mất hoặc đánh cắp. Mạng lưới này đã sử dụng nền tảng lừa đảo tự động iServer để đánh cắp thông tin đăng nhập của hàng trăm nghìn nạn nhân trên toàn thế giới.
16:00 | 04/09/2024
Kaspersky vừa phát hiện một nhóm tin tặc có tên Head Mare, chuyên tấn công các tổ chức ở Nga và Belarus bằng cách khai thác lỗ hổng zero-day trong phần mềm nén và giải nén phổ biến WinRAR.
13:00 | 06/08/2024
Các nhà nghiên cứu đã phát hiện ra một lỗ hổng nghiêm trọng mới trong Hệ thống phân giải tên miền (DNS) cho phép thực hiện một cuộc tấn công có tên là TuDoor. Cuộc tấn công này có thể được sử dụng nhằm vào bộ đệm DNS, khởi tạo các điều kiện để tấn công từ chối dịch vụ (DoS) và làm cạn kiệt tài nguyên, điều đó khiến nó trở thành mối đe dọa mới.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Trong tháng 9/2024, Trung tâm Giám sát an toàn không gian mạng quốc gia (Cục An toàn thông tin, Bộ TT&TT) đã ghi nhận 125.338 địa chỉ website giả mạo các cơ quan, tổ chức tăng hơn 100 địa chỉ so với tháng 8 trước đó.
14:00 | 24/10/2024
