Zero-Day-Schwachstellen in der Adobe Type Manager-Bibliothek betreffen mehrere Windows-Betriebssysteme

Microsoft hat einen Sicherheitshinweis zu den Sicherheitslücken in der Adobe Type Manager-Bibliothek veröffentlicht, die bereits von Cyberkriminellen ausgenutzt werden.

Update vom 25. März

Microsoft hat eine Warnung zu zwei neuen Sicherheitsschwachstellen in der Adobe Type Manager-Bibliothek herausgegeben. Microsofts Angaben zufolge, nutzen einige Angreifer die Sicherheitslücke bereits für zielgerichtete Angriffe.

Was ist die Adobe Type Manager-Bibliothek und wieso ist sie angreifbar?

Es gab Zeiten, in denen man zusätzliche Software installieren musste, um proprietäre Adobe-Schriftarten in Windows zu visualisieren, und zwar Adobe Type Manager. Dies war für die Endbenutzer nicht sehr praktisch, sodass Adobe schließlich die Spezifikationen für seine Formate öffnete und Microsoft die Schriftartenunterstützung in seine Betriebssysteme einbaute. Deshalb wird die Windows Adobe Type Manager-Bibliothek verwendet.

Laut Microsoft besteht das Problem darin, wie die Bibliothek Schriftarten eines bestimmten Formats verarbeitet – Adobe Type 1 PostScript-Schriftarten. Ein Angreifer kann eine PostScript-Schriftart vom Typ 1 so erstellen, dass er beliebigen Code auf einem Windows-Computer ausführen kann. Es gibt verschiedene Angriffsmethoden, um die Sicherheitsanfälligkeit auszunutzen. Angreifer können das Opfer davon überzeugen, ein schädliches Dokument zu öffnen oder es einfach über das „Vorschaufenster“ anzeigen zu lassen (dies bezieht sich auf das Systemfenster und nicht auf eine ähnliche Funktion in Microsoft Outlook Mail-Client).

Angreifer können diese Schwachstelle auch über eine HTTP-Erweiterung mit dem Namen Web Distributed Authoring and Versioning (WebDAV) ausnutzen, mit der Benutzer an einem Dokument zusammenarbeiten können.

Microsoft schlägt vor, den WebClient-Dienst zu deaktivieren, mit dem man diese Funktion verwenden kann. Außerdem betont der Konzern, dass es sich hierbei um den wahrscheinlichsten Remote-Angriffsvektor handelt.

Welche Systeme sind anfällig?

Die Sicherheitsanfälligkeit ist in 40 verschiedenen Versionen der Betriebssysteme Windows 10, Windows 7, Windows 8.1, Windows Server 2008, Windows Server 2012, Windows Server 2016 und Windows Server 2019 vorhanden. Der Microsoft-Sicherheitshinweis ADV200006 enthält eine vollständige Liste der anfälligen Systeme.

Das Unternehmen erklärt jedoch, dass in unterstützten Versionen von Windows 10 ein erfolgreicher Angriff nur die Ausführung von Schadcodes in der AppContainer-Sandbox mit eingeschränkten Berechtigungen und Funktionen ermöglicht.

Update: Laut Microsoft ist es unwahrscheinlich, dass diese Sicherheitslücke unter Windows 10 ausgenutzt wird. Sie haben den Schweregrad der Schwachstelle von „kritisch“ auf „wichtig“ heruntergestuft und revidieren die Empfehlung von Workarounds für dieses Betriebssystem. Sie betonen auch, dass es sich um gezielte Angriffe auf Windows 7-basierte Systeme handelt.

Gibt es einen Patch?

Zum Zeitpunkt der Veröffentlichung dieses Beitrags wurde die Sicherheitsanfälligkeit in der Adobe Type Manager-Bibliothek von Microsoft nicht gepatcht. Microsoft plant jedoch, am nächsten Patch Day, dem 14.April, einen Patch zu veröffentlichen. Sobald dies geschieht, werden wir den Beitrag aktualisieren.

Was man jetzt tun sollte

Von unserer Seite empfehlen wir die Verwendung einer zuverlässigen Sicherheitslösung zum Schutz von E-Mails (da dies die häufigste Methode zur Übermittlung bösartiger Dokumente ist) sowie eine schützende Endpoint-Lösung, die böswillige Aktivitäten einschließlich Exploits stoppen kann. Beide Aufgaben können von Kaspersky Endpoint Security for Business Advanced ausgeführt werden. Es versteht sich von selbst, dass es besser ist, Dokumente und E-Mail-Anhänge nicht zu öffnen, wenn Sie nicht sicher sind, woher sie stammen.

Da es noch keine Patches gibt, schlägt Microsoft vor, die folgenden Problemumgehungen zu verwenden.

  1. Deaktivieren Sie Vorschau- und Detailfenster.
  2. Deaktivieren Sie den Webclient-Dienst (wodurch WebDAV deaktiviert wird).
  3. Deaktivieren Sie die ATMFD.DLL-Bibliothek.

Ausführliche Anweisungen dazu finden Sie in den Sicherheitsrichtlinien von Microsoft. Es ist zu beachten, dass das Deaktivieren des Webclient-Dienstes dazu führt, dass WebDAV-Anforderungen nicht verarbeitet werden und Anwendungen, die auf WebDAV basieren, nicht ordnungsgemäß funktionieren. Gleiches gilt für ATMFD.DLL. Anwendungen, die es verwenden, funktionieren in diesem Fall nicht ordnungsgemäß.

Tipps