Win7停服后再遇0day危機？奇安信專家：已發(fā)現(xiàn)在野利用，影響所有Windows版本

3月24日，微軟官方發(fā)布了編號為ADV200006的安全通告，其中一枚Adobe字體管理庫相關(guān)的嚴(yán)重遠(yuǎn)程代碼執(zhí)行漏洞，由奇安信代碼安全實驗室提交。

奇安信代碼安全實驗室分析認(rèn)為，該漏洞影響 Windows XP至Windows 10的所有系統(tǒng)版本，不過對不同系統(tǒng)版本產(chǎn)生的危害不一樣，例如在Windows 7、Windows XP環(huán)境下可獲得內(nèi)核權(quán)限(危害巨大)、在Windows 10的環(huán)境下可獲得沙箱內(nèi)權(quán)限(危害小)。

微軟官方安全通告也確認(rèn)， Adobe字體管理庫(Adobe Type Manager Library)不正確地處理Adobe Type 1 PostScript 字體格式時，會引發(fā)嚴(yán)重的遠(yuǎn)程代碼執(zhí)行漏洞。同時，該通告提示，攻擊者利用漏洞的方式有多種，如說服用戶打開一個特殊構(gòu)造的文本或在 Windows 預(yù)覽窗格中查看該文本。目前，微軟已推出緩解措施，用戶可在Windows資源管理器中禁用“預(yù)覽”和“詳細(xì)信息”窗格將阻止在Windows資源管理器中自動顯示OTF字體。

奇安信安全專家提醒，目前已經(jīng)發(fā)現(xiàn)了利用該漏洞的在野攻擊行為。雖然微軟提出的緩解措施，可以防止在Windows資源管理器中查看惡意文件，但不能阻止經(jīng)過身份驗證的本地用戶運行特制程序來利用此漏洞。鑒于漏洞危害較大，奇安信建議用戶及時關(guān)注微軟官方發(fā)布的補丁。目前，奇安信天眼新一代威脅感知系統(tǒng)、新一代智慧防火墻監(jiān)管類態(tài)勢感知平臺在第一時間加入了針對該漏洞的檢測規(guī)則，建議相關(guān)用戶盡快升級規(guī)則庫至最新版本并啟用對應(yīng)規(guī)則。

值得注意的是，今年1月14日，微軟官方已經(jīng)宣布不會再對Win7系統(tǒng)提供服務(wù)支持，因此Win7等已經(jīng)停服操作系統(tǒng)用戶將不會收到相關(guān)補丁。對此，奇安信專家表示，奇安信天擎終端安全管理系統(tǒng)可提供Win7系統(tǒng)加固模塊，針對利用此漏洞的攻擊，目前正在進(jìn)行實際過程驗證，并將在第一時間發(fā)布驗證結(jié)果。鑒于此漏洞對于Win7系統(tǒng)危害較大，用戶可及時關(guān)注驗證結(jié)果。

另外，針對仍可獲取微軟補丁的客戶(購買擴展安全更新服務(wù))，奇安信天擎可以提供專用補丁庫分發(fā)服務(wù)，建議用戶部署安裝。