Microsoft публикует рекомендации для Windows Zero-Day.

   Не существует доступного патча для уязвимостей, который, по словам Microsoft, существует во всех поддерживаемых версиях Windows.

Сегодня Microsoft опубликовала рекомендации по информированию пользователей об активных атаках, нацеленных на исправленные недостатки, в библиотеке Adobe Type Manager. Уязвимости затрагивают все поддерживаемые версии Windows.

    В Microsoft Windows есть две уязвимости удаленного выполнения кода, когда библиотека Adobe Type Manager неправильно обрабатывает специально созданный мультимастерный шрифт, называемый форматом Adobe Type 1 PostScript, - объясняет Microsoft в рекомендации. Компания знает об «ограниченных целевых атаках», которые могут использовать уязвимость, которую компания оценила как критическую.

Есть несколько способов, которыми злоумышленник может успешно воспользоваться этими недостатками. Например, они могут убедить пользователя открыть специально созданный документ или просмотреть его на панели предварительного просмотра Windows. Открытие или просмотр файла позволит злоумышленнику удаленно запускать вредоносный код на целевой машине. Хотя панель предварительного просмотра Windows может быть вектором атаки, Microsoft заявляет, что панель предварительного просмотра Outlook не является вектором атаки для этих уязвимостей.

«Для систем с поддерживаемыми версиями Windows 10 успешная атака может привести к выполнению кода только в контексте изолированной программной среды AppContainer с ограниченными привилегиями и возможностями, «Официальные лица объясняют потенциальное влияние на поддерживаемые машины с Windows 10.

Microsoft работает над исправлением уязвимостей. Компания обычно выпускает исправления во второй вторник каждого месяца, согласно графику, который обеспечивает как контроль качества, так и планирование ИТ. Известно, что по мере необходимости выпускаются внеполосные исправления для срочных уязвимостей. Microsoft не предоставила подробную информацию о том, когда будет выпущен патч для этих уязвимостей.

В то же время, его рекомендации предлагают обходные пути для компаний, уязвимых к этим атакам. Например, администраторы могут отключить панели предварительного просмотра и сведений в проводнике Windows, чтобы предотвратить автоматическое отображение шрифтов OTF в проводнике Windows. По словам Microsoft, это предотвращает просмотр вредоносных файлов в проводнике Windows, но не блокирует локального аутентифицированного пользователя от запуска специально созданной программы для использования уязвимости.

   Другой обходной путь включает отключение службы WebClient, которая помогает защитить от возможных эксплойтов, блокируя наиболее вероятный вектор удаленной атаки через клиентскую службу Web Distributed Authoring and Versioning (WebDAV). С помощью этого обходного пути злоумышленники все равно смогут заставить систему запускать программы на целевом компьютере или в локальной сети; тем не менее, Пользователи будут запрашивать подтверждение перед открытием вредоносных программ.

Microsoft предоставляет рекомендации по выполнению этих и других обходных путей, а также о том, как отменить их, для различных уязвимых версий Windows, в своих рекомендациях по уязвимостям.

Для защиты от атак, использующих эти недостатки, старший стратег Synopsys по безопасности Джонатан Кнудсен подчеркивает важность того, чтобы не щелкать ссылки или вложения в неожиданных электронных письмах:

«Вы никогда не должны нажимать на ссылки в электронных письмах или открывать документы, происхождение которых неизвестно», - говорит он.  «Атака, использующая эту уязвимость, зависит от того, чтобы заставить пользователей открывать специально созданные вредоносные документы. Каждый раз, когда у вас возникает желание щелкнуть ссылку или открыть вложение, уделите минуту и ​​подумайте о том, что вы делаете».