Một lỗ hổng Windows Zeroday cho phép kẻ tấn công cài đặt phần mềm độc hại lên máy tính của bạn

Hôm qua, Microsoft đã gửi một thông báo lưu ý cho người dùng rằng có một lỗi chưa được vá trong Windows 10 có thể cho phép kẻ tấn công cài đặt phần mềm độc hại hoặc ransomware trên hệ thống máy tính của bạn thông qua các file dữ liệu.

Chi tiết thông báo của Microsoft nói rằng hệ thống này có hai lỗ hổng có thể bị khai thác để cài đặt phần mềm độc hại thông qua Thực thi mã từ xa (RCE) :

Microsoft cho rằng các cuộc tấn công nhắm mục tiêu có thể tận dụng các lỗ hổng chưa được vá trong Thư viện Trình quản lý Adobe Type vì vậy Microsoft đang cung cấp hướng dẫn sau để giúp giảm rủi ro của khách hàng cho đến khi bản cập nhật bảo mật được phát hành.

Lỗ hổng bảo mật tồn tại trong Thư viện Trình quản lý Adobe Type, tệp DLL của Windows mà nhiều ứng dụng sử dụng để quản lý và hiển thị phông chữ có sẵn từ Adobe Systems. Lỗ hổng này bao gồm hai lỗi thực thi mã có thể được kích hoạt do xử lý không đúng các phông chữ chính được tạo thủ công  trong định dạng Adobecript 1 Postcript. Kẻ tấn công có thể khai thác chúng bằng cách thuyết phục một mục tiêu để mở một tài liệu hoặc xem nó trong khung xem trước của Windows.

Làm gì bây giờ?

Cho đến khi có bản vá lỗi và update mới, Microft đề xuất người dùng sử dụng một hoặc nhiều cách giải quyết sau:

• Vô hiệu hóa tính năng xem trước và chi tiết trong Windows Explorer
• Vô hiệu hóa dịch vụ WebClient
• Đổi tên ATMFD.DLL (trên các hệ thống Windows 10 có tệp theo tên đó) hoặc cách khác, vô hiệu hóa tệp khỏi sổ đăng ký

Biện pháp đầu tiên sẽ ngăn Windows Explorer, một công cụ cung cấp giao diện người dùng đồ họa để hiển thị và quản lý tài nguyên Windows, tự động hiển thị Phông chữ loại mở. Mặc dù bản sửa lỗi này sẽ ngăn chặn một số loại tấn công, nhưng nó sẽ không ngăn người dùng được xác thực cục bộ chạy chương trình được thiết kế đặc biệt để khai thác lỗ hổng.

Cách giải quyết khác thứ hai là vô hiệu hóa dịch vụ WebClient, chặn các kẻ tấn công véc tơ có thể sử dụng để khai thác từ xa. Ngay cả khi áp dụng biện pháp này, những kẻ tấn công từ xa vẫn có thể chạy các chương trình nằm trên máy tính của người dùng hoặc mạng cục bộ. Tuy nhiên, cách giải quyết sẽ giúp người dùng được nhắc xác nhận trước khi mở các chương trình tùy ý từ Internet.

Microsoft cho biết việc vô hiệu hóa WebClient sẽ ngăn việc Truyền và phân phối Web. Nó cũng ngăn mọi dịch vụ phụ thuộc vào WebClient và bắt đầu ghi lại các thông báo lỗi trong Nhật ký hệ thống.

Đổi tên ATMFD.DLL, đề xuất điểm dừng cuối cùng, sẽ gây ra sự cố hiển thị cho các ứng dụng dựa trên phông chữ nhúng và có thể khiến một số ứng dụng ngừng hoạt động nếu chúng sử dụng phông chữ OpenType. Microsoft cũng cảnh báo rằng những sai lầm khi thực hiện thay đổi sổ đăng ký đối với Windows, theo yêu cầu trong một biến thể của cách khắc phục thứ ba có thể gây ra các vấn đề nghiêm trọng có thể yêu cầu Windows phải được cài đặt lại hoàn toàn. Tệp DLL không còn xuất hiện trong Windows 10 phiên bản 1709 trở lên.