А, таки, какой шрифт у вас в библиотеке?
Не зря говорят, что все новое – хорошо забытое старое. Некоторые уже и не помнят малвари Stuxnet и Duqu разработанные израильско-американскими усилиями. Напомню, что одна из уязвимостей через которые Duqu и Stuxnet попадали на компьютер – был 0day баг в библиотеке обработки шрифтов TrueType. Также большинство из нас помнит огромное количество хорошо работавших еще долгое время “китов” созданных уже после того, как эти уязвимости стали достоянием общественности.
Про Stuxnet громко кричали, писали и визжали, наверное больше, чем про нынешний коронавирус. Покричали и забыли.
Забыли и про кривые библиотеки обработки шрифтов Win. Забыл про них даже сам Microsoft (а может, сделал вид, что забыл?). Зато про них, так-таки, не забыли отличные ребята, разработавшие тогдашние госмалвари.
23 марта в библиотеке Adobe Type Manager Library, которую в том числе использует Проводник Windows в Панели предаврительного просмотра нашли возможность исполнения произвольного кода(RCE) без всяких дополнительных действий пользователя. Уязвимость существовала достаточно давно и активно использовалась, по видимому, теми же гениями хумуса и фалафеля, что не поленились разобрать другие либы шрифтов в далеком 2008.
Уязвимость кошерная, как маца – на данный момент патча нет.
Для того, чтобы эксплуатировать баг, злоумышленнику достаточно направить файл, который даже не надо открывать – предпросмотр все сделает сам.
Не понятно может ли баг быть эксплатирован удаленно через web страницу, содержащую специально созданные вредоносные шрифты OTF. Это пока полемика. Но на долго ли?
Потенциально существует и множество других способов, через которые злоумышленник может атаковать уязвимость, например, через клиентскую службу Web Distributed Authoring and Versioning (WebDAV).
Уязвимы Windows 10, 8.1, Server 2008, 2012, 2016 и 2019. А также Windows 7, обсуживание которого уже прекращено MS.
На данный момент официального патча нет. Все, что можно сделать это переименовать библиотеку ATMFD.DLL во что нибудь другое. И повторять про себя “Шма, Исраэль!”
Крепитесь, Гои.
Ждем появления “китов”. Кто первый? Поехали!
Вас ебали, ебут и будут ебать. Государство, хакеры, чиновники.
Остановить эту свингер-пати невозможно. Но мы научим предохраняться.
Следите за новостями на нашем канале @cybersecs или на сайте
cybersec.org
