Um aviso publicado pela Microsoft hoje indica que uma nova vulnerabilidade que permite a execução remota de código está a ser usada em ataques direccionados. A vulnerabilidade que está a ser explorada nestes ataques reside no Adobe Type Manager, um ficheiro DLL (Dynamic Link Library) usado por várias aplicações para gerir e renderizar tipos de letra (fontes) da Adobe.
Esta vulnerabilidade consiste de duas falhas de execução de código que podem ser exploradas através da utilização de tipos de letra postscript Adobe Type 1, que foram feitos de propósito para desencadear estes ataques. Mais propriamente, os principais vectores de ataque são documentos que são abertos no sistema de antevisão do Windows.
Segundo o alerta da Microsoft: “A Microsoft sabe que alguns ataques estão a usar esta vulnerabilidade. Em sistemas Windows 10, um ataque bem-sucedido pode resultar em execução de código dentro de um contexto de sandbox com privilégios e capacidades limitados.”
A Microsoft não disse se se consegue executar código malicioso através de estas vulnerabilidades ou se simplesmente tenta fazer isso. Muitas vezes as defesas do Windows conseguem impedir que as vulnerabilidades sejas exploradas da forma que os hackers esperam. O aviso também não indica que tipos de sistemas estão a ser atacados e qual é área geográfica em que estes ataques se estão focar. Ainda segundo a Microsoft, não existe ainda nenhuma actualização que resolva este problema de segurança, também não há indicação quando é que será disponibilizada.
Como se proteger
Até estar disponível uma actualização, a Microsoft sugere um destas soluções:
Desligar a área de antevisão e de detalhe no Explorador de ficheiros do Windows.
Desligando o serviço WebClient.
Alterar o nome do ficheiro ATMFD.DLL.
A primeira solução vai impedir que o Explorador do Windows de mostrar tipos de letra Open Type, o que previne alguns tipos de ataques, mas não impede que um utilizador local explore esta vulnerabilidade.
A segunda solução, desligar o serviço WebClient, bloqueia o vector que os atacantes podem usar para explorar remotamente estas vulnerabilidades. Mas mesmo assim existe a possibilidade de atacantes executarem programas no computador alvo ou na rede local a que está ligado.
A terceira solução, mudar o nome do ficheiro ATMFD.DLL, pode causar problemas na reprodução de imagem em aplicações que usem fontes incluídas e mesmo fazer com que algumas aplicações deixem de funcionar de usarem tipos de letra OpenType. A Microsoft também avisa que as alterações que têm de ser feitas no registo do Windows podem causar problemas que podem obrigar a uma reinstalação do sistema operativo.
A publicação da Microsoft inclui instruções para implementar e remover todas estas soluções temporárias.