نوشته شده در دیدگاه‌تان را بنویسید

اخطار – دو نقص روز صفر که بر روی کلیه نسخه های ویندوز تأثیر می گذارد

امروز مایکروسافت به میلیاردها کاربر هشداردهنده امنیتی جدید برای دو آسیب پذیری مهم و غیرقابل رفع روز صفر منتشر کرد که به هکرها اجازه می دهد از راه دور کنترل کاملی بر روی رایانه های هدفمند داشته باشند.

طبق گفته مایکروسافت ، هر دو نقص در حملات محدود و هدفمند مورد استفاده قرار می گیرند و بر روی تمامی نسخه های پشتیبانی شده سیستم عامل ویندوز از جمله نسخه های ویندوز 10 ، 8.1 و سرور 2008 ، 2012 ، 2016 و 2019 و همچنین ویندوز 7 تأثیر می گذارند.
هر دو آسیب پذیری در کتابخانه Windows Adobe Type Manager قرار دارند ، یک نرم افزار تجزیه و تحلیل فونت که نه تنها وقتی که با یک نرم افزار شخص ثالث باز می شود ، محتوا را تجزیه می کند بلکه توسط Windows Explorer برای نمایش محتوای یک فایل در “پیش نمایش صفحه” یا “جزئیات” استفاده می شود.  

این نقص ها در Microsoft Windows وجود دارد هنگامی که کتابخانه Adobe Type Manager به طور نادرست “handles a specially-crafted multi-master font – Adobe Type 1 PostScript format,” دستکاری شود ، “به مهاجمین از راه دور اجازه می دهد تا با متقاعد کردن کاربر برای باز کردن ویژه ، کد مخرب دلخواه را روی سیستم های هدفمند انجام دهند.

مایکروسافت گفت: “برای سیستم هایی که نسخه های Windows 10  را استفاده می کنند ، یک حمله موفقیت آمیز فقط می تواند منجر به اجرای کد در یک بستر sandbox از AppContainer با امتیازات و قابلیت های محدود شود.”

در حال حاضر ، اگرچه مشخص نیست که آیا می توان با متقاعد کردن کاربر به بازدید از یک صفحه وب حاوی قلم های OTF مخرب مخصوص ساخت ، نقص ها را نیز از راه دور بر روی مرورگر وب ایجاد کرد ، اما چندین راه دیگر وجود دارد که یک مهاجم می تواند از این آسیب پذیری سوءاستفاده کند ، از جمله خدمات مشتری توزیع و تألیف توزیع شده (WebDAV).

هنوز وصله موجود نیست؛ راه حل را اعمال کنید

مایکروسافت اعلام کرد از این مسئله آگاه است و در حال کار بر روی وصله ای است که این شرکت به عنوان بخشی از به روزرسانی های بعدی Patch Tuesday ، یعنی چهاردهم آوریل ، برای همه کاربران ویندوز منتشر خواهد کرد.
این شرکت افزود: “پیکربندی امنیتی پیشرفته این آسیب پذیری را کاهش نمی دهد.”

راه حل های ارائه شده زیر را دنبال کنید:

1) صفحه پیش نمایش و صفحه جزئیات را در ویندوز اکسپلورر غیرفعال کنید

در همین حال ، به همه کاربران ویندوز بسیار توصیه می شود که ویژگی پیش نمایش صفحه و جزئیات صفحه در ویندوز اکسپلورر را غیرفعال کنند تا خطر هک شدن توسط حملات فرصت طلب را کاهش دهند .

برای غیرفعال کردن ویژگی پیش نمایش صفحه و جزئیات صفحه:

  • ویندوز اکسپلورر را باز کنید ، بر روی Organize کلیک کرده و سپس Layout را کلیک کنید.
  • هر دو گزینه جزئیات صفحه و گزینه پیش نمایش پنجره را پاک کنید.
  • بر روی Organize کلیک کنید و سپس بر روی گزینه Folder and search کلیک کنید.
  • روی برگه مشاهده کلیک کنید.
  • در زیر تنظیمات پیشرفته ، نمادهای نشان دادن همیشه نمایش ، جعبه تصاویر کوچک هرگز را علامت بزنید.
  • تمام موارد باز ویندوز اکسپلورر را ببندید تا این تغییر اعمال شود.


با این وجود ، لازم به ذکر است ، در حالی که این راه حل از مشاهده پرونده های مخرب در ویندوز اکسپلورر جلوگیری می کند ، هیچ گونه نرم افزاری را برای بارگیری کتابخانه تجزیه قلم آسیب پذیر متوقف نمی کند.

2) سرویس WebClient را غیرفعال کنید

علاوه بر این ، توصیه می شود سرویس Windows WebClient را غیرفعال کنید تا از طریق حملات سایبری از طریق سرویس مشتری WebDAV جلوگیری کنید.

  • بر روی Start کلیک کنید ، روی Run (یا Windows Key و R را روی صفحه کلید فشار دهید) ، Services.msc را تایپ کرده و OK را بزنید.
  • روی سرویس WebClient راست کلیک کرده و Properties را انتخاب کنید.
  • نوع Startup را به Disabled تغییر دهید. اگر سرویس در حال اجراست ، روی Stop کلیک کنید.
  • تأیید را کلیک کنید و از برنامه مدیریت خارج شوید.

“پس از استفاده از این راه حل ، هنوز هم برای مهاجمین از راه دور که با موفقیت از این آسیب پذیری سوء استفاده می کنند ، امکان پذیر است تا این سیستم برنامه هایی را که در رایانه کاربر هدفدار یا شبکه محلی (LAN)” (محلی) (LAN) اجرا می شود ، انجام دهد ، اما قبل از باز کردن دلخواه ، از کاربران خواسته می شود تا تأیید کنند. برنامه هایی از اینترنت ، “هشدار داده شده توسط مایکروسافت.

3) تغییر نام یا غیرفعال کردن ATMFD.DLL

مایکروسافت همچنین از کاربران می خواهد که تغییر نام پرونده Adobe Type Manager Font Driver (ATMFD.dll) را برای غیرفعال کردن موقت فناوری قلم تعبیه شده ، انجام دهند و این باعث می شود برخی از برنامه های شخص ثالث متوقف شوند.

دستورات زیر را در خط فرمان وارد کنید:

برای سیستم 32 بیتی:
cd “%windir%\system32”
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F)
rename atmfd.dll x-atmfd.dll

برای سیستم 64 بیتی:
cd “%windir%\system32”
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F)
rename atmfd.dll x-atmfd.dll
cd “%windir%\syswow64”
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F)
rename atmfd.dll x-atmfd.dll

راه اندازی مجدد سیستم.

بازنشر مطالب این سایت صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین: https://t.me/pedram_kiani

آدرس ایمیل: admin@ics-cert.ir

کانال تلگرام: https://t.me/ics_cert

توییتر: https://twitter.com/icscerti

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *