Win7停服后再遇0day危機(jī)？奇安信專(zhuān)家：已發(fā)現(xiàn)在野利用，影響所有Windows版本

3月24日，微軟官方發(fā)布了編號(hào)為ADV200006的安全通告，其中一枚Adobe字體管理庫(kù)相關(guān)的嚴(yán)重遠(yuǎn)程代碼執(zhí)行漏洞，由奇安信代碼安全實(shí)驗(yàn)室提交。

奇安信代碼安全實(shí)驗(yàn)室分析認(rèn)為，該漏洞影響 Windows XP至Windows 10的所有系統(tǒng)版本，不過(guò)對(duì)不同系統(tǒng)版本產(chǎn)生的危害不一樣，例如在Windows 7、Windows XP環(huán)境下可獲得內(nèi)核權(quán)限(危害巨大)、在Windows 10的環(huán)境下可獲得沙箱內(nèi)權(quán)限(危害小)。

微軟官方安全通告也確認(rèn)， Adobe字體管理庫(kù)(Adobe Type Manager Library)不正確地處理Adobe Type 1 PostScript 字體格式時(shí)，會(huì)引發(fā)嚴(yán)重的遠(yuǎn)程代碼執(zhí)行漏洞。同時(shí)，該通告提示，攻擊者利用漏洞的方式有多種，如說(shuō)服用戶(hù)打開(kāi)一個(gè)特殊構(gòu)造的文本或在 Windows 預(yù)覽窗格中查看該文本。目前，微軟已推出緩解措施，用戶(hù)可在Windows資源管理器中禁用“預(yù)覽”和“詳細(xì)信息”窗格將阻止在Windows資源管理器中自動(dòng)顯示OTF字體。

奇安信安全專(zhuān)家提醒，目前已經(jīng)發(fā)現(xiàn)了利用該漏洞的在野攻擊行為。雖然微軟提出的緩解措施，可以防止在Windows資源管理器中查看惡意文件，但不能阻止經(jīng)過(guò)身份驗(yàn)證的本地用戶(hù)運(yùn)行特制程序來(lái)利用此漏洞。鑒于漏洞危害較大，奇安信建議用戶(hù)及時(shí)關(guān)注微軟官方發(fā)布的補(bǔ)丁。目前，奇安信天眼新一代威脅感知系統(tǒng)、新一代智慧防火墻監(jiān)管類(lèi)態(tài)勢(shì)感知平臺(tái)在第一時(shí)間加入了針對(duì)該漏洞的檢測(cè)規(guī)則，建議相關(guān)用戶(hù)盡快升級(jí)規(guī)則庫(kù)至最新版本并啟用對(duì)應(yīng)規(guī)則。

值得注意的是，今年1月14日，微軟官方已經(jīng)宣布不會(huì)再對(duì)Win7系統(tǒng)提供服務(wù)支持，因此Win7等已經(jīng)停服操作系統(tǒng)用戶(hù)將不會(huì)收到相關(guān)補(bǔ)丁。對(duì)此，奇安信專(zhuān)家表示，奇安信天擎終端安全管理系統(tǒng)可提供Win7系統(tǒng)加固模塊，針對(duì)利用此漏洞的攻擊，目前正在進(jìn)行實(shí)際過(guò)程驗(yàn)證，并將在第一時(shí)間發(fā)布驗(yàn)證結(jié)果。鑒于此漏洞對(duì)于Win7系統(tǒng)危害較大，用戶(hù)可及時(shí)關(guān)注驗(yàn)證結(jié)果。

另外，針對(duì)仍可獲取微軟補(bǔ)丁的客戶(hù)(購(gòu)買(mǎi)擴(kuò)展安全更新服務(wù))，奇安信天擎可以提供專(zhuān)用補(bǔ)丁庫(kù)分發(fā)服務(wù)，建議用戶(hù)部署安裝。