Tenable ブログ
ブログ通知を受信する
Adobe Type Manager ライブラリのフォント解析におけるリモートでコードが実行される脆弱性の悪用が確認される(ADV200006)
マイクロソフト、リモートでコードが実行される脆弱性について、定例外のアドバイザリを公開
2020年4月14日更新: Microsoft has updated its advisory with reference to CVE-2020-1020, and our solution section has been updated as well.
背景
3月23日、Microsoft は Adobe Type Manager(ATM)ライブラリの2件の脆弱性に関するアドバイザリを公開しました。Adobe Type Manager(ATM)ライブラリは、Windows のすべてのバージョンある統合された PostScript フォントライブラリです。ATM ライブラリの名前は、アドビが開発したツール、ATM Light に由来していますが、マイクロソフトは、2007年にリリースされた Windows Vista 以降、ATM フォントのネイティブサポートを提供しています。これらの脆弱性は、PostScript フォントをサポートするための Windows のネイティブの統合に存在します。
To be clear and despite its name, this is *not* Adobe code. Microsoft was given the source code for ATM Light for inclusion in Windows 2000/XP. After that, Microsoft took 100% responsibility for maintaining the code.
— Rosyna Keller (@rosyna) March 23, 2020
本脆弱性が悪用された場合、遠隔の攻撃者が任意のコードを実行する可能性があります。アップデートを適用するまでの間は、脆弱性の影響を軽減するため、マイクロソフトが勧める回避策を実施して下さい。
分析
このアドバイザリによると、脆弱なマシン上で特殊な細工が施された文書を開いたり、Windows プレビューペインでその文書を表示すると攻撃者によりコードが実行される可能性があります。
脆弱性は、Windows が OpenType フォントを解析する方法に存在します。悪用に成功するには、攻撃者がユーザーに悪意のあるドキュメントを開く、または、通常 WebDAV ファイル共有をリッスンする WebClient サービスを悪用する悪意のあるページにアクセスするように誘導する必要があります。
また、マイクロソフトは「「2015年にリリースされた Windows 10 の最初のバージョンで緩和策が導入されているため、Windows 10 を実行しているシステムでは悪用の可能性が低い」と述べています。 詳細については回避策のセクションをご覧ください。マイクロソフトによると、Windows 10 については本脆弱性の悪用を確認していないとのことです。また、遠隔からの任意のコード実行が成功する可能性は低く、権限昇格も不可能なので、Windows 10 を使用している場合、回避策の実施は推奨されていません。
概念実証
現時点では、本脆弱性を悪用する概念実証は公開されていませんが、マイクロソフトによれば、既に Windows 7を標的とする限定的な攻撃に悪用されているとのことです。
ベンダー応答
Microsoft released its advisory outside of the normal update cycle to provide workarounds.
ソリューション
マイクロソフトは、Windows エクスプローラーのプレビューウィンドウと詳細ウィンドウを無効にする、WebClientサービスを無効にする、Adobe Type Manager フォントドライバーdllファイル(ATMFD.dll)の名前を変更するなど、いくつかの回避策を提案しています。回避策とその影響の詳細については、アドバイザリの回避策のセクションをご覧ください。必要に応じてこれらの回避策を適用することを推薦します。An update to fix this vulnerability was released in Microsoft's April 2020 Patch Tuesday and can be found here.
影響を受けているシステムの特定
これらの脆弱性を識別する Tenable プラグインのリストは、こちらからご覧いただけます。
詳細情報
Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。
現代のアタックサーフェスを総合的に管理する Cyber Exposure Platform を初めて提供した Tenable について詳細情報をご覧ください。
今すぐ Tenable.io Vulnerability Management の 30 日間無料トライアルをお試しいただけます。
関連記事
CVE-2024-47575: Frequently Asked Questions About FortiJump Zero-Day in FortiManager and FortiManager Cloud
October 23, 2024Frequently asked questions about a zero-day vulnerability in Fortinet’s FortiManager that has reportedly been exploited in the wild.
From Bugs to Breaches: 25 Significant CVEs As MITRE CVE Turns 25
October 22, 2024Twenty five years after the launch of CVE, the Tenable Security Response Team has handpicked 25 vulnerabilities that stand out for their significance.
Oracle October 2024 Critical Patch Update Addresses 198 CVEs
October 15, 2024Oracle addresses 198 CVEs in its fourth quarterly update of 2024 with 334 patches, including 35 critical updates.
Cybersecurity Snapshot: Apply Zero Trust to Critical Infrastructure’s OT/ICS, CSA Advises, as Five Eyes Spotlight Tech Startups’ Security
November 1, 2024Should critical infrastructure orgs boost OT/ICS systems’ security with zero trust? Absolutely, the CSA says. Meanwhile, the Five Eyes countries offer cyber advice to tech startups. Plus, a survey finds “shadow AI” weakening data governance. And get the latest on MFA methods, CISO trends and Uncle Sam’s AI strategy.
FY 2024 State and Local Cybersecurity Grant Program Adds CISA KEV as a Performance Measure
October 31, 2024The CISA Known Exploited Vulnerabilities (KEV) catalog and enhanced logging guidelines are among the new measurement tools added for the 2024 State and Local Cybersecurity Grant Program.
Cybersecurity Snapshot: New Guides Offer Best Practices for Preventing Shadow AI and for Deploying Secure Software Updates
October 25, 2024Looking for help with shadow AI? Want to boost your software updates’ safety? New publications offer valuable tips. Plus, learn why GenAI and data security have become top drivers of cyber strategies. And get the latest on the top “no-nos” for software security; the EU’s new cyber law; and CISOs’ communications with boards.
- Vulnerability Management