Microsoft hat ein neues Security Advisory veröffentlicht, welches vor zwei Sicherheitslücken in der Adobe Type Manager Library warnt. Leider ist aktuell noch kein Patch verfügbar – und gemäss Microsoft wird die Schwachstelle bereits für gezielte Angriffe ausgenutzt. Was wir Ihnen als Experten vom InfoGuard Cyber Defence Center raten, erfahren Sie in diesem Beitrag.
Neue Sicherheitslücke in der Adobe Type Manager Library erlaubt Angreifern das Ausführen von Code mittels präparierten Dokumenten
Microsoft hat am Montag ein Security Advisory (ADV200006) veröffentlicht, welches vor zwei Sicherheitslücken in der Adobe Type Manager Library warnt. Ein Patch ist noch nicht verfügbar und die Lücke wird laut Microsoft schon für sehr gezielte Angriffe (Spionage, Regierungen etc.) ausgenutzt. Der Angreifer erstellt dazu ein Dokument mit speziell präparierten Adobe Type 1 Postscript Master Fonts. Dieses wird durch die Adobe Type Manager Library (ATMFD.DLL) angezeigt, welche dann den Schadcode ausführt.
Sicherheitslücke betrifft ältere Windows-Versionen
Für neuere Windows 10 Versionen (ab 1703) stellt die Sicherheitslücke keine grössere Bedrohung dar, da der Angreifer-Code bei einem erfolgreichen Angriff bloss in der AppContainer Sandbox ausgeführt würde. Die DLL existiert für Windows 10 ab Version 1709 nicht mehr. Für Betreiber älterer Systeme kann die Sicherheitslücke aber durchaus gefährlich werden.
Es ist davon auszugehen, dass gewisse Dienste bereits einen Exploit, sprich einen Code, der das Ausnutzen der Sicherheitslücke erlaubt, für die genannte Lücke besitzen, da Microsoft dessen Einsatz beobachtet hat. Da nun bekannt ist, wo sich die Sicherheitslücke befindet, gehen wir davon aus, dass sie eventuell bald auch von anderen gefunden wird und dann einer breiteren Masse zur Verfügung steht.
Was Sie jetzt tun müssen
Da noch keine Patches verfügbar sind, hat Microsoft auch Workarounds beschrieben, welche einen Missbrauch der Lücken verhindert:
- Die Vorschau sowie die Detailansicht im Windows Explorer deaktivieren.
- Den WebClient Service deaktivieren.
- Die Datei ATMFD.DLL umbenennen oder alternativ in der Registry deaktivieren.
Wie Sie dies machen können, beschreibt Microsoft in ihrem Security Advisory.
Unsere Empfehlung
Wir empfehlen Ihnen, dass Sie die Workarounds implementieren, bis ein Sicherheitspatch verfügbar ist. Im schlechtesten Szenario müssten Sie sonst bis zum April Patch Tuesday warten und dies erachten wir als äusserst kritisch.
Sollten Sie noch Fragen zur Lücke haben, können Sie uns gerne auf Social Media kontaktieren!
