Microsoftより現在サポート対象となっている全てのWindows製品に影響しうる脆弱性についてのアドバイザリが公開されました。

https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/ADV200006

マイクロソフトによると、当該脆弱性は、限定的な標的型攻撃において悪用が確認されているとの事です。

今回の脆弱性はatmfd.dllと言う名のAdobe Type Manager Libraryに起因するものだとの事です。

本脆弱性に関しては、US-CERTおよびCERT/CCからも注意喚起が公開されています。

www.us-cert.gov

https://kb.cert.org/vuls/id/354840/

詳細について、本記事で解説していきます。

目次

• 脆弱性の概要
• 修正バージョンについて
• 影響を受けるバージョン
• 回避策
• まとめ

脆弱性の概要

マイクロソフトによると、先述のAdobe Type Manager Libraryが、特別な細工が施されたAdobe Type 1 PostScript formatを適切に処理できない場合に、2つのリモートコード実行の脆弱性が発現するとの事です。

脆弱性の悪用方法としては、ユーザーが特別に細工された文書ファイルを開いたり、Windowsプレビューページで閲覧したりすることを起点にしうると、想定されています。

修正バージョンについて

現在、修正バージョンは公表されておらず、準備中だとの事です。

つきましては、後述の回避策を適応することが推奨されています。

影響を受けるバージョン

詳細は、Microsoftが発行するアドバイザリADV200006をご覧いただければと思いますが、 大まかな対象バージョンを以下に示します。

• Windows 10 32bit版/64bit版
• Windows 8 32bit版/64bit版
• Windows 7 32bit版/64bit版
• Windows Server 2019
• Windows Server 2016
• Windows Server 2012
• Windows Server 2008 32bit版/64bit版

なお、Windows10の場合、バージョンによっては、限られた権限および機能でAppContainer というサンドボックス上でのみ攻撃が成功するとの事です。

これにより、影響が緩和されることが想定されます。

AppContainerによる防御効果については、過去にJPCERT/CCより公開されているので、参考にご確認いただくと良いかと思います。

blogs.jpcert.or.jp

回避策

回避策として、マイクロソフトより、以下の3つの方法が紹介されていますので、適応をご検討ください。 回避策の設定方法など、詳細については、ADV200006をご確認ください。 アドバイザリーでは回避策の設定方法に加え、設定の解除方法も紹介されています。

• Windows エクスプローラーのプレビュー ウィンドウと詳細ウィンドウを無効にする

  • 本回避策は、Windows エクスプローラーにおける自動表示を防げます。
  • ただし、ユーザが特別に細工されたプログラムを実行することは防げないとの事です。

• WebClient サービスを無効にする

  • Webサーバを利用したファイル共有や編集を提供するWebDAVサービス経由での攻撃の経路を遮断できます。
  • 結果として、インターネット経由での攻撃の防御策につながります。
  • 回避策の適応後もローカルネットワーク経由での攻撃実行の可能性があるものの、プログラム実行時の確認ダイアログが表示されるとの事です。

• ATMFD.DLL の名前を変更する

  • 本回避策の適応によりサードパーティ製アプリケーションの動作に影響を及ぼす可能性があります。
  • Windows8.1以前に適応する場合はレジストリに変更を加えるため、その後のシステム動作に影響を及ぼす可能性があるとの事です。

まとめ

脆弱性のPoCコードは現在出回っていないようですが、悪用が確認されているのは事実だとの事なので、対策を考える必要がありそうです。

マイクロソフトがリリースを出したのは、攻撃観測がトリガーだとして、目処が立たないうちでのリリースとも考えにくい気がするので、修正バージョンも近いうちに出るのかなと、思っている次第です。