Phát hiện hai lỗ hổng 0-day nghiêm trọng ảnh hưởng đến tất cả các phiên bản Windows


Microsoft vừa đưa ra một khuyến cáo bảo mật mới cho hàng tỷ người dùng Windows về hai lỗ hổng zero-day mới. Hai lỗ hổng này vẫn chưa được vá và có thể cho phép hacker thực hiện kiểm soát máy tính từ xa.



Theo Microsoft , cả hai lỗ hổng đang bị khai thác ở phạm vi hạn chế. Chúng nhắm và tác động đến tất cả các phiên bản được hỗ trợ của hệ điều hành Windows như Windows 10, 8.1, Server 2008, 2012, 2016 và 2019. Kể cả Windows 7 đã kết thúc hỗ trợ vào ngày 14/1 vừa rồi cũng bị ảnh hưởng.



Hai lỗ hổng zero-day trên Windows mọi phiên bản



Cả hai lỗ hổng đều nằm trong Windows Adobe Type Manager Library (ATML). Đây là một phần mềm phân tích phông chữ có thể phân tích nội dung khi mở bằng phần mềm của bên thứ 3. Nó cũng được Windows Explorer sử dụng để hiển thị nội dung của tệp trong ‘Preview Pane’ hay ‘Details Pane’ mà không cần mở tệp.



Các lỗ hổng xuất hiện trong hệ thống khi ATML thực hiện sai “xử lý phông chữ multi-master có thiết kế đặc biệt, hay chính là phông Adobe Type 1 PostScript”. Lỗ hổng cho phép kẻ tấn công từ xa thực thi mã độc tùy ý trên các hệ thống bằng cách lừa người dùng mở hoặc xem những tài liệu độc hại trong Windows Preview.



Microsoft phát biểu “Nếu các hệ thống chạy các phiên bản Windows 10 bị tấn công thì sẽ dẫn đến việc chạy mã trong AppContainer sandbox với một số đặc quyền và khả năng hạn chế”.



Hiện tại vẫn chưa biết liệu việc lừa người dùng truy cập trang web chứa phông chữ OTF độc hại có thể kích hoạt lỗi từ xa trên trình duyệt web hay không. Tuy nhiên, vẫn có nhiều cách khai thác lỗ hổng khác như thông qua Web Distributed Authoring and Versioning (hệ thống quản lý chứng thực và phiên bản trên web).



Microsoft chưa phát hành Bản vá bảo mật, người dùng nên làm gì?



Microsoft cho biết họ ý thức được sự nghiêm trọng của vấn đề và vẫn đang cố gắng khắc phục lỗi. Công ty sẽ phát hành bản vá cho tất cả người dùng Windows như một phần của bản cập nhật Patch Tuesday vào ngày 14/4 tới đây.



Họ cho biết thêm “Cấu hình bảo mật nâng cao không có tác dụng với lỗ hổng này”.



Vậy chúng ta nên làm gì?



1. Vô hiệu hóa Preview Pane và Details Pane trong Windows Explorer



Người dùng Windows được khuyến nghị nên vô hiệu hóa tính năng Preview Pane và Details Pane trong Windows Explorer để giảm nguy cơ bị tấn công bởi những kẻ cơ hội.



Để tắt tính năng Preview Pane và Details Pane:




Mở Windows Explorer, chọn Organize -> Layout.
Xóa cả hai tùy chọn Details pane và Preview pane.
Chọn Organize -> Folder and search options.
Chọn View tab.
Trong Advanced settings chọn Always show icons, never thumbnails box.
Đóng tất cả các tab của Windows Explorer để thay đổi được thực hiện.

Tuy nhiên,cách làm này chỉ ngăn các tệp độc hại được xem trong Windows Explorer chứ không chặn phần mềm hợp pháp của bên thứ 3 bất kỳ tải thư viện ATML.



2. Vô hiệu hóa dịch vụ WebClient



Bên cạnh đó, mọi người cũng nên tắt dịch vụ Windows WebClient để ngăn chặn các cuộc tấn công mạng thông qua WebDAV.




Chọn Start -> Run (hoặc nhấn tổ hợp Windows + R), nhập Services.msc rồi bấm OK.
Kích chuột phải vào WebClient -> Properties.
Thay đổi loại Startup type thành Disable. Nếu dịch vụ đang chạy thì chọn Stop.
Chọn OK và thoát khỏi ứng dụng quản lý.

Microsoft cảnh báo “Sau khi làm theo hướng dẫn trên, kẻ xấu vẫn có thể lỗi khai thác từ xa, khiến hệ thống chạy các chương trình nằm trên máy tính của người dùng hoặc Mạng cục bộ (LAN). Tuy nhiên người dùng sẽ được cảnh báo trước khi mở các chương trình từ Internet”.



3. Đổi tên hoặc Vô hiệu hóa ATMFD.DLL



Microsoft cũng đang kêu gọi người dùng đổi tên tệp Adobe Type Manager Font Driver (ATMFD.dll) để tạm thời vô hiệu hóa công nghệ phông chữ nhúng, điều này có thể khiến một số ứng dụng của bên thứ 3 ngừng hoạt động.



Mọi người cũng có thể nhập các lệnh sau tại administrative command prompt:



Với hệ thống 32-bit:



cd “%windir%system32” takeown.exe /f atmfd.dll icacls.exe atmfd.dll /save atmfd.dll.acl icacls.exe atmfd.dll /grant Administrators:(F) rename atmfd.dll x-atmfd.dll



Với hệ thống 64-bit:



cd “%windir%system32” takeown.exe /f atmfd.dll icacls.exe atmfd.dll /save atmfd.dll.acl icacls.exe atmfd.dll /grant Administrators:(F) rename atmfd.dll x-atmfd.dll cd “%windir%syswow64” takeown.exe /f atmfd.dll icacls.exe atmfd.dll /save atmfd.dll.acl icacls.exe atmfd.dll /grant Administrators:(F) rename atmfd.dll x-atmfd.dll



Sau khi nhập lệnh, khởi động lại để hệ thống thực hiện các thay đổi.



Quỳnh Thảo



Theo TheHackerNews
The post Phát hiện hai lỗ hổng 0-day nghiêm trọng ảnh hưởng đến tất cả các phiên bản Windows appeared first on SecurityDaily .

Top News