Microsoft kini memberi peringatan tentang serangan yang secara aktif mengeksploitasi dua kerentanan kritis remote-code-execution (RCE) yang ditemukan di library Adobe Type Manager Windows dan berdampak pada semua versi Windows, bahkan versi yang masih mendapatkan dukungan.
Dua kerentanan keamanan RCE ini ada di Microsoft Windows “ketika library Adobe Type Manager Windows tidak benar dalam menangani font multi-master yang dibuat khusus – format PostScript tipe 1 Adobe.”
Microsoft telah menilai kerentanan ini sebagai kerentanan kritis dan mengatakan bahwa ini berdampak pada mesin yang menjalankan rilis desktop dan server Windows, termasuk Windows 10, Windows 8.1, Windows 7, dan beberapa versi Windows Server.
Microsoft is aware of limited targeted attacks that could leverage unpatched vulnerabilities in the Adobe Type Manager Library, and is providing guidance to help reduce customer risk until the security update is released. See the link for more details. https://t.co/tUNjkHNZ0N
— Security Response (@msftsecresponse) March 23, 2020
Microsoft saat ini sedang mengerjakan perbaikan untuk kerentanan kritis tersebut
Microsoft mengatakan bahwa perbaikan untuk kerentanan saat ini sedang dikembangkan dan memberi petunjuk pada rilis yang akan datang pada Patch Tuesday bulan depan (pada 14 April).
“Pembaruan yang membahas kerentanan keamanan dalam perangkat lunak Microsoft biasanya dirilis pada Patch Tuesday, hari selasa kedua setiap bulannya,” menurut advisory yang diterbitkan.
“Jadwal yang dapat diprediksi ini memungkinkan jaminan kualitas mitra dan perencanaan TI, yang membantu menjaga ekosistem Windows sebagai pilihan yang andal dan aman bagi pelanggan kami.”
Pengguna Windows 7, Windows Server 2008, atau Windows Server 2008 R2 harus memiliki lisensi ESU untuk menerima pembaruan keamanan di masa mendatang untuk memperbaiki masalah ini.
Baca Juga: “Microsoft Bocorkan Informasi Kerentanan SMBv3 Windows“
https://errorcybernews.id/2020/03/12/kerentanan-smbv3-windows/
Pada Windows 10, “perangkat yang kerentanannya berhasil dieksploitasi hanya akan mengarah pada eksekusi kode dengan hak dan kemampuan terbatas dalam konteks sandbox AppContainer” menurut advisory Microsoft.
Namun, penyerang masih berpotensi menginstal program, melihat, mengubah, atau menghapus data, atau bahkan membuat akun baru dengan hak pengguna yang berlevel tinggi.
Untuk mengeksploitasi dua masalah keamanan ini, penyerang dapat menipu korban potensial untuk membuka dokumen berbahaya atau untuk melihatnya melalui panel Windows Preview, lalu Windows Preview Outlook bukanlah vektor serangan.
New Windows 0day in the wild
"Microsoft is aware of limited targeted attacks that could leverage unpatched vulnerabilities in the Adobe Type Manager Library…"
Advisory with pre-patch workarounds here https://t.co/pVahzRegVy
— Ryan Naraine (@ryanaraine) March 23, 2020
Penanganan Zero-Day
Untuk mengurangi risiko serangan yang menyalahgunakan dua kerentanan ini, Microsoft menyarankan pelanggan untuk menonaktifkan panel Preview and Detail di Windows Explorer untuk mencegah tampilan otomatis font-font OTF.
“Walaupun ini mencegah file berbahaya dilihat di Windows Explorer, itu tidak mencegah pengguna lokal yang diautentikasi menjalankan program yang dibuat khusus untuk mengeksploitasi kerentanan ini,” Microsoft menambahkan.
Menonaktifkan layanan WebClient juga dapat membantu melindungi sistem yang rentan dari upaya berkelanjutan untuk mengeksploitasi kelemahan “dengan memblokir vektor serangan jarak jauh yang paling mungkin melalui layanan klien Web Distributed Authoring and Versioning (WebDAV).”
“Setelah menerapkan solusi tersebut masih mungkin bagi penyerang yang berhasil mengeksploitasi kerentanan ini untuk menyebabkan sistem menjalankan program yang terletak di komputer pengguna yang ditargetkan atau Local Area Network (LAN), tetapi pengguna akan diminta untuk konfirmasi sebelum membuka program arbitrer dari Internet,” tambah Microsoft.
Mengganti nama library aktual (ATMFD.DLL) untuk mencegah potensi eksploitasi bekerja adalah solusi lain yang disarankan.
CISA urges users to apply workarounds to address RCE vulnerabilities in Microsoft’s Adobe Type Manager Library being exploited in the wild. https://t.co/l3G5JBily2 #Cyber #Cybersecurity #InfoSec
— US-CERT (@USCERT_gov) March 23, 2020
Prosedur terperinci tentang cara menonaktifkan panel Windows Explorer Preview/Details dan layanan WebClient, serta cara mengubah nama ATMFD.DLL pada sistem 32-bit dan 64-bit tersedia dalam advisory keamanan yang bisa kalian klik di sini.
