Microsoft waarschuwt voor mogelijke zerodaylekken in Windows

Microsoft heeft gewaarschuwd voor twee kwetsbaarheden in Windows 7, Windows 8.1, Windows 10 en in verschillende versies van de Windows Server die momenteel actief worden aangevallen. Er is nog geen beveiligingsupdate beschikbaar.

Kwetsbaarheid

De kwetsbaarheden zitten in de manier waarop Windows een bepaald fontformaat verwerkt. Het probleem zit voornamelijk in de Adobe Type Manager (ATM) library, een geïntegreerde PostScript font library die aanwezig in alle versies sinds Windows Vista. Een aanvaller kan op verschillende manieren misbruik maken van de zerodaylekken. Zo kan een hacker een slachtoffer een speciaal voorbereid document laten openen.
In Windows 10 is volgens Microsoft de impact van een aanval beperkt, omdat de aanvaller alleen code met beperkte rechten binnen AppContainer-sandbox kan uitvoeren. Het is bij andere kwetsbare Windowsversie mogelijk om, in het ergste geval, controle te krijgen over het volledige systeem.
Er is nog niet bekend wanneer Microsoft met een patch komt, maar het bedrijf lijkt te hinten naar de patchdinsdag van april, zodat organisaties er rekening mee kunnen houden.

Oplossing van tijdelijke aard

Er zijn tijdelijke maatregelen die organisaties en gebruikers kunnen nemen om misbruik te voorkomen. Er wordt allereerst aangeraden om het Windows-voorbeeldvenster en Details pane (detailvenster) uit te schakelen. Hierdoor wordt de automatische weergave van OTF-fonts in de Windowsverkenner voorkomen. Optie twee is het uitschakelen van de WebClient-service. Dit voorkomt het aanvallen via de Web Distributed Authoring and Versioning (WebDAV) client-service. Een laatste opties is om het ATMFD.DLL bestand te hernoemen of uit te schakelen. Dit kan er wel voor zorgen dat bepaalde applicaties bij het gebruik van OpenType-fonts niet meer goed werken.
Bij Windows 7 ontvangen alleen gebruikers met onderhoudscontract een beveiligingsupdate. Microsoft geeft enkel aan dat de aanvallen ‘beperkt en gericht’ zijn. Dit is een term die vaak wordt gebruikt voor aanvallen die door staten zijn uitgevoerd.

ConanDoyle

Het is dus erg belangrijk om de perimeter goed te beveiligen. Daarnaast moet er ook aandacht worden besteed aan de signalering en herstel procedures, die vooraf zijn uitgewerkt. Er zijn en blijven kwetsbaarheden die niet of nauwelijks op te lossen zijn op de server of werkplek zelf. De hardware is kwetsbaar, maar ook essentiële delen van de software blijken keer op keer kwetsbaarheden te vertonen.
Het is om die reden belangrijk dat naast de bescherming op het device zelf (up to date blijven van de (systeem)software, virus scanning en encryptie), ook te zorgen dat de defense lines om de infra structuur heen op orde zijn. Dus firewalls, netwerksegmentatie, DDOS protectie, etc. Ook is het belangrijk om snelle signalering te hebben voor als het fout gaat (kwetsbaarheidsscanning, honey pots, etc). Goede toepassingen die misbruik kunnen signaleren en goede opvolging van deze meldingen (een SOC dienst).
Eens te meer wordt duidelijk dat “het nooit waterdicht wordt”. We moeten wel streven naar het dichten van de lekken, maar ook zorgen voor goeie signalering en opvolging. Alleen zo kunnen we de informatie voorziening redelijkerwijs beschermen. Alles natuurlijk in verhouding tot noodzaak en budgetten van de betreffende organisatie.

Bron: Security.nl