» »

Izkorišča se nezakrpana ranljivost v Windows 10

Izkorišča se nezakrpana ranljivost v Windows 10

Slo-Tech - V Windows 10 so odkrili novo ranljivost, ki ima po Microsoftovi lestvici najvišjo stopnjo resnosti ("kritično") in še ni zakrpana. Težava tiči v Adobe Type Manager Library (atmfd.dl) in jo lahko napadalec izkoristi, če uporabnik zlonamerno pripravljen dokument odpre ali si ga že predogleda v Windows Preview. Omenjena knjžnica se uporablja za izris pisav PostScript Type 1 v Windows.

Z zlorabo te ranljivost lahko napadalec na sistemu oddaljeno požene zlonamerno kodo. Gre za dve luknji, ki omogočata RCE (remote code execution). Omenjena ranljivost se v praksi že izrablja, dasiravno v omejenem obsegu, je dejal Microsoft. Podrobnosti o tem, kdo in kako jo izkorišča, niso razkrili. Ogrožen je tudi Windows 7, ki pa ni več podprt za domače uporabnike. Popravek, ki bo na voljo v naslednjem ciklu (drugi torek v mesecu), bodo tako dobili le naročniki razširjene podpore, za Windows 10 pa vsi.

Do tedaj lahko onesposobimo
Preview Pane in Details Pane v Raziskovalcu, izključimo storitev WebCLient ali preimenujemo atmfd.dll. Prvi korak je najmanj škodljiv, saj zgolj onesposobimo del grafičnega vmesnika, ki uporablja pisave, povezane s to knjižnico. Drugi način je uporaben proti oddaljenim napadom, tretji pa je agresiven in lahko onesposobi programe, ki uporabljajo pisave OpenType.

20 komentarjev

WizzardOfOZ ::

Če nimaš adobe naložen, potem te datoteke ni v sistemu.

Raziskovalec? Total commander all the way, vključno z:
Windows Registry Editor Version 5.00
 
 [HKEY_CLASSES_ROOT\Drive\shell]
 @="open"
 
 [HKEY_CLASSES_ROOT\Drive\shell\open]
 
 [HKEY_CLASSES_ROOT\Drive\shell\open\command]
 @="c:\\tools\\wincmd\\TOTALCMD64.EXE /O \"%1\""
 
 [HKEY_CLASSES_ROOT\Directory\shell]
 @="open"
 
 [HKEY_CLASSES_ROOT\Directory\shell\open]
 
 [HKEY_CLASSES_ROOT\Directory\shell\open\command]
 @="c:\\tools\\wincmd\\TOTALCMD64.EXE /O \"%1\""

CyberPunk ::

Je, in celo veckrat, vsaj pri meni:



Glede Total Commanderja se pa strinjam.

cegu ::

A ima mogoce kdo kakšen dober step-by-step kako to sploh storijo?

1. Oseba odpre dokument ki.. kaj - pozene knjiznico?
2. Ta knjiznica je ranljiva ker... ima administratorski dostop in karkoli koda izrvsi ima lahko posledice?
3. Izvrsevanje kode na daljavo - kako? Jaz se SSH komaj da vzpostavim, kako lahko nekdo poganja kodo na daljavo.

je kaksen for-dummies tutorial?

WizzardOfOZ ::

Zgodovina sprememb…

proto ::

cegu je izjavil:

A ima mogoce kdo kakšen dober step-by-step kako to sploh storijo?

1. Oseba odpre dokument ki.. kaj - pozene knjiznico?
2. Ta knjiznica je ranljiva ker... ima administratorski dostop in karkoli koda izrvsi ima lahko posledice?
3. Izvrsevanje kode na daljavo - kako? Jaz se SSH komaj da vzpostavim, kako lahko nekdo poganja kodo na daljavo.

je kaksen for-dummies tutorial?


Ne ni "for dummies" tutoriala, ker "te zadeve" niso for dummies. Moras vedeti o izvajanju kode vec kot ve danasen milenijec, zavit v garbage collectorje, interface in na splosno tako oddaljen od dejanskega izvajanja kode, da se mu zdi browser operacijski sistem.

Zgodovina sprememb…

  • predlagal izbris: MrStein ()

Matko ::

Težava MS ali Adobe?

PS: (atmfd.dl)- en "l" manjka v imenu datoteke

FireSnake ::

proto je izjavil:


Ne ni "for dummies" tutoriala, ker "te zadeve" niso for dummies. Moras vedeti o izvajanju kode vec kot ve danasen milenijec, zavit v garbage collectorje, interface in na splosno tako oddaljen od dejanskega izvajanja kode, da se mu zdi browser operacijski sistem.


Kruta! :D
A realna :)
Poglej in se nasmej: vicmaher.si

brbr21 ::

Adobe spyware... verjetno kar feature, ki jo je ta pogoltni gigant prodajal posvečenim zainteresiranim. Skret firma zadnjih 10+ let.

proto je izjavil:

Ne ni "for dummies" tutoriala, ker "te zadeve" niso for dummies. Moras vedeti o izvajanju kode vec kot ve danasen milenijec, zavit v garbage collectorje, interface in na splosno tako oddaljen od dejanskega izvajanja kode, da se mu zdi browser operacijski sistem.


He, he, he... najraje s klik GUI opcijo in YT tutorialom :))

filip007 ::

Morajo še tisto s tekmovanja popraviti.
Prenosnik, konzola, TV, PC upokojen.

mtosev ::

Nimam nic od adobeja. Pomeni, da nisem ogrozen ane?
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro,
Enermax Platimax 1700W | moj oče darko 1960-2016, moj labradorec max 2002-2013

pirlo ::

mtosev je izjavil:

Nimam nic od adobeja. Pomeni, da nisem ogrozen ane?

Načeloma ne. Išči atmfd.dll. Meni ga ne najde, nimam nič od Adobe gor.

Izi ::

Kolikor je meni znano Windows 10 že precej časa nimajo več atmfd.dll datoteke, ki je bila kernel driver in kot taka res kritična.
Menda so že v verziji 1607 to datoteko zamenjali z atmlib.dll, ki deluje izven kernela.

atmlib.dll
File description: Windows NT Open Type/Type 1 API Library
Company: Adobe Systems

Sem preveril 3 različne Windows 10 PC-je in na nobenem ni atmfd.dll datoteke, je pa atmlib.dll, ki je menda varna.

jacal ::

Drži, na novem prenosniku s svežimi polkni in nameščenim Adobejevim bralnikom PDF-jev te datoteke ni, atmlib.dll pa je.

AapocalypseE ::

in jo lahko napadalec izkoristi, če uporabnik zlonamerno pripravljen dokument odpre ali si ga že predogleda v Windows Preview.

Torej si je folk tudi sam kriv, če odpira datoteke od neznane osebe.

MrStein ::

Od Windows 10 1703 dalje se ta DLL baje ne uporablja.

Vir: https://portal.msrc.microsoft.com/en-us...

Je pa res, da v prvi tabeli na isti strani piše:

Windows 10 Version 1909 for x64-based Systems Remote Code Execution Critical
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

MrStein ::

cegu je izjavil:

A ima mogoce kdo kakšen dober step-by-step kako to sploh storijo?

1. Oseba odpre dokument ki.. kaj - pozene knjiznico?
2. Ta knjiznica je ranljiva ker... ima administratorski dostop in karkoli koda izrvsi ima lahko posledice?
3. Izvrsevanje kode na daljavo - kako? Jaz se SSH komaj da vzpostavim, kako lahko nekdo poganja kodo na daljavo.

je kaksen for-dummies tutorial?

Primer:
- greš na firmin file server (shared folder)
- tam je v eno mapo nekdo (virus) dal okužen fajl
- BUM! je že mimo

Ko namreč odpreš to mapo, bo pokazalo fajle, med njimi okuženega, ki mu bo prikazalo preview (thumbnail slikico namesto generične ikone). Ta preview prikaže omenjena knjižnica. Ki ima luknjo. Ki jo izkoristi koda, ki je v tem fajlu. Kar pomeni, da koda iz fajla zdaj teče na tvojem PC. Po možnosti z najvišjimi prioritetami in dostopom.

https://twitter.com/axsdnied/status/124...

Tu lahko nekdo vpraša glede različic Win10.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

proto ::

Popravek, ne po moznosti. Ta dll je bil nalozen v csrss.exe, tako da bo koda kar fino tekla pod sistemskimi priviledgi. Nisem pa cisto preprican, ce se fonti rendrirajo na odpiranje shara, kolikor se spomnim se niso, je pa res, da spomin na windowse pocasi pesa.

sbawe64 ::

Izi je izjavil:

Kolikor je meni znano Windows 10 že precej časa nimajo več atmfd.dll datoteke, ki je bila kernel driver in kot taka res kritična.
Menda so že v verziji 1607 to datoteko zamenjali z atmlib.dll, ki deluje izven kernela.

atmlib.dll
File description: Windows NT Open Type/Type 1 API Library
Company: Adobe Systems

Sem preveril 3 različne Windows 10 PC-je in na nobenem ni atmfd.dll datoteke, je pa atmlib.dll, ki je menda varna.

Na w7 sta obe datoteki, brez nameščenega adobe spywarea.

sbawe64 ::

https://thehackernews.com/2020/03/windo...
No Patch Yet Available; Apply Workarounds

Napisane so tri "rešitve".

Zgodovina sprememb…

  • spremenilo: sbawe64 ()

MrStein ::

sbawe64 je izjavil:


Na w7 sta obe datoteki, brez nameščenega adobe spywarea.

Ja, to je del Windows, nima veze s 3rd party programi.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Izkorišča se nezakrpana ranljivost v Windows 10

Oddelek: Novice / Varnost
208670 (5183) MrStein
»

Samsungovi in Crucialovi SSD-ji ne znajo varno šifrirati

Oddelek: Novice / Varnost
317870 (4626) bbbbbb2015
»

Odkritih 13 kritičnih ranljivosti AMD Ryzen in EPYC procesorjev (strani: 1 2 3 )

Oddelek: Novice / Procesorji
10835919 (29248) rdecaluc
»

Resna ranljivost v Bluetoothu

Oddelek: Novice / Varnost
2610202 (7096) GizmoX
»

GHOST - resna ranljivost v glibc

Oddelek: Novice / Varnost
257597 (4724) jype

Več podobnih tem