WindowsにおけるAdobe Type Manager LibraryのRCE脆弱性について
Microsoftより現在サポート対象となっている全てのWindows製品に影響しうる脆弱性についてのアドバイザリが公開されました。
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/ADV200006
マイクロソフトによると、当該脆弱性は、限定的な標的型攻撃において悪用が確認されているとの事です。
今回の脆弱性はatmfd.dllと言う名のAdobe Type Manager Libraryに起因するものだとの事です。
本脆弱性に関しては、US-CERTおよびCERT/CCからも注意喚起が公開されています。
https://kb.cert.org/vuls/id/354840/
詳細について、本記事で解説していきます。
目次
脆弱性の概要
マイクロソフトによると、先述のAdobe Type Manager Libraryが、特別な細工が施されたAdobe Type 1 PostScript formatを適切に処理できない場合に、2つのリモートコード実行の脆弱性が発現するとの事です。
脆弱性の悪用方法としては、ユーザーが特別に細工された文書ファイルを開いたり、Windowsプレビューページで閲覧したりすることを起点にしうると、想定されています。
修正バージョンについて
現在、修正バージョンは公表されておらず、準備中だとの事です。
つきましては、後述の回避策を適応することが推奨されています。
影響を受けるバージョン
詳細は、Microsoftが発行するアドバイザリADV200006をご覧いただければと思いますが、 大まかな対象バージョンを以下に示します。
- Windows 10 32bit版/64bit版
- Windows 8 32bit版/64bit版
- Windows 7 32bit版/64bit版
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012
- Windows Server 2008 32bit版/64bit版
なお、Windows10の場合、バージョンによっては、限られた権限および機能でAppContainer というサンドボックス上でのみ攻撃が成功するとの事です。
これにより、影響が緩和されることが想定されます。
AppContainerによる防御効果については、過去にJPCERT/CCより公開されているので、参考にご確認いただくと良いかと思います。
回避策
回避策として、マイクロソフトより、以下の3つの方法が紹介されていますので、適応をご検討ください。 回避策の設定方法など、詳細については、ADV200006をご確認ください。 アドバイザリーでは回避策の設定方法に加え、設定の解除方法も紹介されています。
WebClient サービスを無効にする
- Webサーバを利用したファイル共有や編集を提供するWebDAVサービス経由での攻撃の経路を遮断できます。
- 結果として、インターネット経由での攻撃の防御策につながります。
- 回避策の適応後もローカルネットワーク経由での攻撃実行の可能性があるものの、プログラム実行時の確認ダイアログが表示されるとの事です。
ATMFD.DLL の名前を変更する
まとめ
脆弱性のPoCコードは現在出回っていないようですが、悪用が確認されているのは事実だとの事なので、対策を考える必要がありそうです。
マイクロソフトがリリースを出したのは、攻撃観測がトリガーだとして、目処が立たないうちでのリリースとも考えにくい気がするので、修正バージョンも近いうちに出るのかなと、思っている次第です。