Adobe Type Manager Libraryに見つかった2つのゼロデイ脆弱性、複数のWindows OSに影響

Adobe Type Manager Libraryの複数の脆弱性について、Microsoftよりセキュリティ アドバイザリが公開されました。すでにサイバー犯罪者による悪用が見られています。

Adobe Type Manager Libraryに見つかった2つの脆弱性について、Microsoftよりセキュリティ アドバイザリが発行されています。同社によると、これらの脆弱性はすでに複数の標的型攻撃に使用されているとのことです。

Adobe Type Manager Library、そしてその脆弱性について

かつて、WindowsでAdobeフォントを表示させるには、Adobe Type Managerを追加インストールする必要がありました。利用者への利便性から、Adobeは最終的に自社フォントの仕様を公開し、Microsoftはフォントのサポートを自社OSに組み込むようになりました。その用途を担うのがWindows Adobe Type Manager Libraryです。

Microsoftによると、この問題はライブラリがAdobe Type 1 PostScript形式のフォントを処理する際に生じます。攻撃者は特別に細工したType 1 PostScriptフォントを作成し、Windowsマシン上で任意のコードを実行することが可能です。この脆弱性を悪用する攻撃経路は複数存在します。たとえば何らかの形で悪意ある文書を開かせる、あるいはプレビューウィンドウ(システムウィンドウのこと。Microsoft Outlookのプレビューとは別)を通じて表示させるなどによる悪用が可能です。

攻撃者はさらに、WebDAV(Web-based Distributed Authoring and Versioning)を通じてこの脆弱性を悪用することも可能です。WebDAVはHTTPプロトコルの拡張であり、文書の共同作業などに使用されています。

Microsoftでは、リモート攻撃経路となる可能性が高いとして、WebDAV を利用する際に使われるWebClientサービスの無効化を提案しています。

影響を受けるシステム

この脆弱性は、Windows 10、Windows 7、 Windows 8.1、 Windows Server 2008、Windows Server 2012、Windows Server 2016、Windows Server 2019の計40バージョンに存在します。影響を受けるシステムの一覧については、MicrosoftセキュリティアドバイザリADV200006をご確認ください。

ただし、同社の説明では、サポート対象バージョンのWindows 10については、攻撃が成功したとしても、悪意あるコードの実行はサンドボックス機能であるAppContainerの内部に限られ、権限や能力は制限されるとのことです。

修正パッチの状況

この記事の掲載時点では、Adobe Type Manager Libraryの脆弱性に関する修正パッチは公開されていません。Microsoftは、次回のパッチ配信時(米国時間の毎月第2火曜日)に公開する計画だとしています。次回のパッチ配信は4月14日(米国時間)です。公開され次第、この記事も更新の予定です。

当面の対応

当社からは、メールを保護するセキュリティ製品を使用すること(悪意ある文書の配布に使われる最も一般的な手法がメールであるため)、また、エクスプロイトを含む悪意ある活動を阻止することのできるエンドポイントソリューションを併せて導入することを推奨します。いずれの機能もKaspersky Endpoint Security for Business Advancedに搭載されています。また、折に触れお伝えしているように、どこから来たのか定かではない文書やメールの添付ファイルは開かないようにご注意ください。

パッチが公開されるまでは、Microsoftの推奨する回避策に従ってください。

  1. Windows エクスプローラーで、プレビューウィンドウと詳細ウィンドウをオフにする。
  2. Webclientサービスをオフにする(これによりWebDAVが無効になります)。
  3. DLLライブラリを無効にする。

上記手順の詳細については、Microsoftのセキュリティ アドバイザリをご参照ください。なお、Webclientサービスを無効化すると、WebDAVのリクエストが処理されなくなり、WebDAVに依存するアプリケーションが正常に機能しなくなります。ATMFD.DLLを無効化する場合も、このライブラリを使用するアプリケーションが正常に機能しなくなります。

ヒント