Avertissement – Deux défauts critiques non corrigés du RCE 0 jour affectent toutes les versions de Windows

Microsoft a publié aujourd’hui un nouvel avis de sécurité mettant en garde les milliards d’utilisateurs de Windows contre deux nouvelles vulnérabilités critiques, non corrigées, qui pourraient permettre aux pirates de prendre à distance le contrôle total des ordinateurs ciblés.

Selon MicrosoftLes deux failles non corrigées sont utilisées dans des attaques limitées et ciblées et ont un impact sur toutes les versions du système d’exploitation Windows prises en charge, y compris Windows 10, 8.1 et les éditions Server 2008, 2012, 2016 et 2019, ainsi que Windows 7 pour lequel Microsoft a mis fin à son soutien le 14 janvier 2020.

Les deux vulnérabilités résident dans le système d’exploitation Windows Bibliothèque Adobe Type Managerun logiciel d’analyse des polices qui non seulement analyse le contenu lorsqu’il est ouvert avec un logiciel tiers, mais est également utilisé par l’explorateur Windows pour afficher le contenu d’un fichier dans le « volet d’aperçu » ou le « volet de détails » sans que les utilisateurs aient à l’ouvrir.

Les failles existent dans Microsoft Windows lorsque la bibliothèque Adobe Type Manager « gère incorrectement une police multi-master spécialement conçue – le format PostScript Adobe Type 1 », permettant à des attaquants distants d’exécuter un code malveillant arbitraire sur des systèmes ciblés en convainquant un utilisateur d’ouvrir un document spécialement conçu ou de le visualiser dans le volet d’aperçu de Windows.

« Pour les systèmes fonctionnant avec des versions de Windows 10 prises en charge, une attaque réussie ne pourrait aboutir qu’à l’exécution de code dans un contexte de sandbox AppContainer avec des privilèges et des capacités limités », a déclaré Microsoft.

À l’heure actuelle, bien qu’il ne soit pas certain que les failles puissent également être déclenchées à distance via un navigateur web en convainquant un utilisateur de visiter une page web contenant des polices OTF malveillantes spécialement conçues, il existe de multiples autres moyens pour un attaquant d’exploiter la vulnérabilité, comme par exemple via le service client WebDAV (Web Distributed Authoring and Versioning).

Aucun patch n’est encore disponible ; appliquer des solutions de contournement

Microsoft a déclaré qu’elle était consciente du problème et qu’elle travaillait sur un correctif, qu’elle diffuserait à tous les utilisateurs de Windows dans le cadre de ses prochaines mises à jour du mardi des correctifs, le 14 avril.

« La configuration de sécurité renforcée n’atténue pas cette vulnérabilité », a ajouté la société.

1) Désactiver le volet de prévisualisation et le volet de détails dans l’explorateur Windows

En attendant, il est vivement recommandé à tous les utilisateurs de Windows de désactiver les fonctions Volet d’aperçu et Volet de détails dans l’Explorateur Windows en tant que solution de contournement pour réduire le risque de se faire pirater par des attaques opportunistes.

Pour désactiver les volets « Aperçu » et « Détails » :

• Ouvrez l’Explorateur Windows, cliquez sur Organiser et ensuite sur Mise en page.
• Effacez les options de menu du volet Détails et du volet Aperçu.
• Cliquez sur Organiser, puis sur Dossier et options de recherche.
• Cliquez sur l’onglet Affichage.
• Sous Paramètres avancés, cochez la case Toujours afficher les icônes, jamais les vignettes.
• Fermez toutes les instances ouvertes de l’explorateur Windows pour que le changement prenne effet.

Cependant, il faut noter que si ce contournement empêche les fichiers malveillants d’être visualisés dans l’explorateur Windows, il n’empêche aucun logiciel tiers légitime de charger la bibliothèque d’analyse des polices vulnérables.

2) Désactiver le service WebClient

En outre, il est également conseillé de désactiver le service WebClient de Windows afin de prévenir les cyberattaques par le service client WebDAV.

• Cliquez sur Démarrer, cliquez sur Exécuter (ou appuyez sur la touche Windows et R du clavier), tapez Services.msc puis cliquez sur OK.
• Cliquez avec le bouton droit de la souris sur le service WebClient et sélectionnez Propriétés.
• Changez le type de démarrage en Désactivé. Si le service est en cours d’exécution, cliquez sur Stop.
• Cliquez sur OK et quittez l’application de gestion.

« Après avoir appliqué ce contournement, il est toujours possible pour les attaquants à distance qui exploitent avec succès cette vulnérabilité d’amener le système à exécuter des programmes situés sur l’ordinateur de l’utilisateur ciblé ou sur le réseau local (LAN), mais les utilisateurs seront invités à confirmer avant d’ouvrir des programmes arbitraires depuis Internet », a averti Microsoft.

3) Renommer ou désactiver ATMFD.DLL

Microsoft invite également les utilisateurs à renommer le fichier ATMFD.dll (Adobe Type Manager Font Driver) afin de désactiver temporairement la technologie des polices intégrées, ce qui pourrait entraîner l’arrêt de certaines applications tierces.

Saisissez les commandes suivantes à l’invite de commande administrative :

Pour le système 32 bits :
cd « %windir%system32 » (en anglais)
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll / grant Administrateurs :(F)
renommer atmfd.dll x-atmfd.dll

Pour le système 64 bits :
cd « %windir%system32 » (en anglais)
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll / grant Administrateurs :(F)
renommer atmfd.dll x-atmfd.dll
cd « %windir%syswow64 »
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll / grant Administrateurs :(F)
renommer atmfd.dll x-atmfd.dll

Redémarrez le système.