Microsoft warnt vor aktiv ausgenutzter Zero-Day-Schwachstelle

Die Zero-Day-Schwachstelle befindet sich in der Adobe Type Manager Library. Einen Patch gibt es noch nicht, dafür aber einen Workaround.

Microsoft warnt in einem Sicherheitshinweis vor einer kritischen Zero-Day-Schwachstelle in Windows, die von Cyberkriminellen bereits ausgenutzt wird. Die Sicherheitslücke befindet sich in der Adobe Type Manager Library. Laut Microsoft gibt es in dieser Bibliothek zwei Schwachstellen, die eine Remotecodeausführung (RCE) erlauben. Ein Patch für die Sicherheitslücken hat der Windows-Hersteller noch nicht veröffentlicht, plant aber, diesen zum regulären April-Patchday auszuliefern.

Alle derzeit unterstützten Versionen der Betriebssysteme Windows und Windows Server sind laut Sicherheitshinweis von der Schwachstelle betroffen. Windows 7, das derzeit nicht mehr unterstützt wird, weist die kritische Schwachstelle ebenfalls auf. „Es gibt mehrere Möglichkeiten, wie ein Angreifer die Schwachstellen ausnutzen könnte, wie einen Benutzer davon zu überzeugen, ein speziell gestaltetes Dokument zu öffnen oder es in der Windows-Vorschau anzuzeigen“, teilt Microsoft mit.

Benutzer von Windows 7, Windows Server 2008 oder Windows Server 2008 R2 benötigen eine ESU-Lizenz (Extended Security Update), um Sicherheitsupdates zur Behebung dieser Probleme zu erhalten. Auf Windows 10-Geräten führt die erfolgreiche Ausnutzung der beiden Zero-Day-Sicherheitslücken laut Microsoft nur zu einer Codeausführung mit eingeschränkten Berechtigungen und Fähigkeiten innerhalb einer AppContainer-Sandbox. Angreifer könnten jedoch weiterhin potenziell Programme installieren, Daten anzeigen, ändern oder löschen oder sogar neue Konten mit vollen Benutzerrechten erstellen.

Um den möglichen Angriffen aus dem Weg zu gehen, hat Microsoft mehrere Maßnahmen empfohlen:

  • Deaktivieren des Vorschaubereichs und des Detailbereichs im Windows-Explorer:
    Hierfür öffnet man den Explorer und klickt auf Ansicht. Unter Optionen aktiviert man den Eintrag „Immer Symbole statt Miniaturansichten anzeigen“.
  • Explorer-Ansicht-Optionen-immer-Symbole (Screenshot: ZDNet.de)

  • Deaktivieren des WebClient-Service:
    Die Deaktivierung des WebClient-Service hilft, betroffene Systeme vor Versuchen zu schützen, diese Schwachstelle auszunutzen, indem der wahrscheinlichste Angriffsvektor blockiert wird. Nach der Anwendung dieser Workarounds ist es für entfernte Angreifer, die diese Schwachstelle erfolgreich ausnutzen, immer noch möglich, das System dazu zu bringen, Programme auszuführen, die sich auf dem Computer des Zielbenutzers oder im Local Area Network (LAN) befinden, aber die Benutzer werden vor dem Öffnen beliebiger Programme aus dem Internet zur Bestätigung aufgefordert.
  • Webclient deaktivieren (Screenshot: ZDNet.de)

  • ATMFD.DLL umbenennen
    Bei neueren Windows-Versionen gibt es die Datei ATMFD.DLL nicht mehr. Dafür existiert die Datei ATMLIB.DLL, wobei es sich laut Beschreibung um die im Sicherheitshinweis genannte Adobe Type Manager Library handelt. Diese sollte man vorsichtshalber ebenfalls umbenennen. Dabei ist darauf zu achten, dass bei Verwendung einer deutschen Windows-Version, der im Workaround von Microsoft beschrieben Parameter „Administrators“ durch „Administratoren“ ersetzt wird.

ATMLIB.DLL umbenennen (Screenshot: ZDNet.de)

WEBINAR

HPE GreenLake: Optimale Basis für Ihre Cloud

HPE GreenLake ist ein IT-as-a-Service-Angebot, das das Cloud-Erlebnis in Ihre On-Premises-Infrastruktur bringt und Ihre Edges, Clouds und Rechenzentren vereinheitlicht. Lernen Sie in diesem Webinar, wie Sie die Vorteile der HPE-Lösung optimal für Ihr Unternehmen nutzen.

Themenseiten: Microsoft, Windows 10

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Microsoft warnt vor aktiv ausgenutzter Zero-Day-Schwachstelle

Kommentar hinzufügen
  • Am 24. März 2020 um 15:41 von Gast

    Deaktivieren des Vorschaubereichs und des Detailbereichs im Windows-Explorer:
    Hierfür öffnet man den Explorer und klickt auf Ansicht. Unter Optionen aktiviert man den Eintrag „Immer Symbole statt Miniaturansichten anzeigen“.

    ->Hier fehlt, dass man auch auf den Ansicht-Tab klicken muß, um dort links oben den Bereich „Vorschaubereich“ (auch Alt+P) und „Detailbereich“ (auch Alt-Shift-P) abzuwählen, so dass diese nicht mehr aktiviert erscheinen. Das mit den Symbolen ist auch ein Teil der Vorschau, welcher damit abgeschaltet wird:

    Open Windows Explorer, click the View tab.
    Clear both the Details pane and Preview pane menu options.
    Click Options, and then click Change folder and search options.
    Click the View tab.
    Under Advanced settings, check the Always show icons, never thumbnails box.
    Close all open instances of Windows Explorer for the change to take effect.

    ->Schlecht, dass es dafür scheinbar keine Policy gibt, um das zentral zu deaktivieren, sonst hätte MS die vermutlich genannt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *