微软4月安全更新补丁和高危漏洞风险提示:
【漏洞公告】
2020年4月14日,微软官方发布了4月安全更新公告,包含了微软家族多个软件的安全更新补丁,同时更新发布了3月22日临时安全公告的Windows Adobe PostScript字体(Type 1)解析时存在的远程代码执行漏洞补丁,该漏洞对应CVE编号CVE-2020-1020、CVE-2020-0938,相关链接参考:
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2020-1020
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2020-0938
3月23日公告:
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/adv200006
根据公告,微软已经获悉利用这一0day漏洞的有针对性攻击(有高价值的目标),基于漏洞的严重性,此次对已经停服的Windows 7也提供了补丁、建议尽快安装安全更新补丁或采取临时缓解措施加固系统。
【影响范围】
字体解析漏洞影响和微软已经提供补丁的的系统列表(包括停服的Windows 7):
Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1709 for 32-bit Systems
Windows 10 Version 1709 for ARM64-based Systems
Windows 10 Version 1709 for x64-based Systems
Windows 10 Version 1803 for 32-bit Systems
Windows 10 Version 1803 for ARM64-based Systems
Windows 10 Version 1803 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems Service Pack 1
Windows 8.1 for 32-bit systems
Windows 8.1 for x64-based systems
Windows RT 8.1
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for Itanium-Based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1803 (Server Core Installation)
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows 7补丁下载:
Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems Service Pack 1
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4550965
【漏洞描述】
根据分析,Windows系统自带的Windows Adobe Type Manager库在解析PostScript字体(Type 1)时存在缓冲区溢出漏洞,恶意攻击者可通过多种方式利用此漏洞,包括诱使用户打开含有攻击代码的文档或在Windows预览窗格中查看缩略图等方式,在一些攻击终端用户场景中可以无感知利用,建议尽快安装安全更新补丁或采取临时缓解措施加固系统。
4月安全公告列表,包含的其他漏洞(非全部)快速阅读指引:
https://portal.msrc.microsoft.com/zh-cn/security-guidance/releasenotedetail/2020-Apr
CVE-2020-0760 | Microsoft Office 远程执行代码漏洞
CVE-2020-0835 | Windows Defender 反恶意软件平台硬链接权限提升漏洞
CVE-2020-0906 | Microsoft Excel 远程执行代码漏洞
CVE-2020-0920 | Microsoft SharePoint 远程执行代码漏洞
CVE-2020-0929 | Microsoft SharePoint 远程执行代码漏洞
CVE-2020-0931 | Microsoft SharePoint远程执行代码漏洞
CVE-2020-0932 | Microsoft SharePoint远程执行代码漏洞
CVE-2020-0935 | Windows的OneDrive特权提升漏洞
CVE-2020-0961 | Microsoft Office Access连接引擎远程执行代码漏洞
CVE-2020-0971 | Microsoft SharePoint远程执行代码漏洞
CVE-2020-0974 | Microsoft SharePoint远程执行代码漏洞
CVE-2020-0979 | Microsoft Excel远程执行代码漏洞
CVE-2020-0980 | Microsoft Word远程执行代码漏洞
CVE-2020-0991 | Microsoft Office远程执行代码漏洞
CVE-2020-1002 | Microsoft Defender特权提升漏洞。
【缓解措施】
高危:微软已经获悉利用这一0day漏洞的有针对性攻击(有高价值的目标),目前漏洞细节和利用代码已经公开,建议及时测试安全更新补丁并应用安装,或采取临时缓解措施加固系统。
临时缓解措施(不方便打补丁的情况下考虑的有限措施):
1.禁用资源管理器预览和细节窗格方式
可以通过在Windows资源管理器中禁用预览和详细信息窗格来阻止在Windows资源管理器中自动显示OTF字体的方式缓解,虽然这可以防止在Windows资源管理器中查看恶意文件,但并不能阻止经过身份验证的本地用户运行特殊设计的程序来利用此漏洞。
Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2和Windows 8.1系统中执行:
资源管理器->组织->布局->细节窗格和预览窗格(取消打勾)
文件夹选项->高级设置->始终显示图标,从不显示缩略图(勾选)
Windows Server 2016、Windows 10和Windows Server 2019系统中执行:
资源管理器->组织->布局->详细信息窗格和预览窗格(取消打勾)
文件夹选项->高级设置->始终显示图标,从不显示缩略图(勾选)
2.禁用WebClient服务
可以通过禁用WebClient服务阻止通过Web分布式创作和版本管理(WebDAV)客户端服务触发的远程攻击媒介,从而帮助保护受影响的系统免受此漏洞的危害。不过,成功利用此漏洞的远程攻击者仍有可能使系统执行位于目标用户计算机或局域网(LAN)上的程序,但是在打开来自Internet区域的任意程序之前,会提示用户给予确认。
运行->services.msc->WebClient(禁用)
3. 重命名文件ATMFD.DLL文件
可以通过重命名ATMFD.DLL文件阻止字体解析调用,32位系统中该文件在%windir%\system32目录下,64位系统中该文件在%windir%\system32和%windir%\syswow64目录下。
32位系统在管理员身份运行的命令提示符下执行:
cd %windir%\system32
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F)
rename atmfd.dll x-atmfd.dll
成功完成后,文件将被名命成x-atmfd.dll,为使更改生效,需要重启系统。
64位系统在管理员身份运行的命令提示符下执行:
cd %windir%\system32
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F)
rename atmfd.dll x-atmfd.dll
cd %windir%\syswow64
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F)
rename atmfd.dll x-atmfd.dll
成功完成后,文件将被名命成x-atmfd.dll,为使更改生效,需要重启系统。
要恢复所作临时更改和版本支持说明可以参考微软官方安全更新文档:
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/adv200006
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2020-1020
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2020-0938
