Bu yazı 14 Nisan tarihinde güncellenmiştir
Microsoft, Adobe Type Manager Kitaplığı’ndaki iki yeni güvenlik açığı hakkında bir uyarı yayımladı. Dahası, verilen bilgilere göre bazı saldırganlar zaten hedefli saldırılarda bu açıkları kullanıyor. 14 Nisan’da Microsoft bir güncelleme yayımlayarak bu açığı yamadı.
Adobe Type Manager Kitaplığı nedir ve nasıl güvenlik açıkları vardır?
Windows’ta tescilli Adobe yazı tiplerini görmek için Adobe Type Manager isminde ek bir yazılım yüklemeniz gereken bir dönem vardı. Bu durum son kullanıcılar için çok da uygun değildi, bu yüzden Adobe sonunda formatlarının özelliklerini açtı ve Microsoft yazı tipi desteğini işletim sistemlerine kurdu. Windows Adobe Type Manager Kitaplığı’nın kullanım amacı da tam olarak bu.
Microsoft’a göre sorun, kitaplığın belirli bir biçimdeki (Adobe Type 1 PostScript yazı tipleri) yazı tiplerini işleme biçimiyle ilgili. Saldırgan, bir Type 1 PostScript yazı tipini, bir Windows makinesinde rastgele bir kod yürütme yeteneği kazanacak şekilde oluşturabilir. Güvenlik açığından yararlanmak için birkaç saldırı vektörü vardır. Saldırganlar bir şekilde kurbanı kötü amaçlı bir belge açmaya veya temel olarak bir “Önizleme Bölmesi” (bu, Microsoft Outlook posta istemcisindeki benzer bir işlevi değil, sistem bölmesini ifade eder) aracılığıyla bunu görüntülemeye ikna edebilir.
Aynı zamanda saldırganlar , Web’de Dağıtılmış Yazma ve Sürüm Oluşturma (WebDAV) adlı bir HTTP uzantısı aracılığıyla bu güvenlik açığından yararlanabilir ve bu da kullanıcıların bir belge üzerinde işbirliği yapmasına olanak tanır.
Microsoft, bu özelliği kullanmanıza izin veren WebClient hizmetini devre dışı bırakmanızı öneriyor ve bunun en olası uzaktan saldırı vektörü olduğunu vurguluyor.
Hangi sistemlerde güvenlik açığı bulunuyor?
Güvenlik açığı, Windows 10, Windows 7, Windows 8.1, Windows Server 2008, Windows Server 2012, Windows Server 2016 ve Windows Server 2019 işletim sistemlerinin 40 farklı sürümünde bulunuyor. Microsoft güvenlik önerisi belgesi ADV200006, güvenlik açığı bulunan sistemlerin tam listesini içerir.
Ancak şirket, Windows 10’un desteklenen sürümlerinde yapılan başarılı bir saldırının, yalnızca AppContainer korumalı alanı bağlamında sınırlı ayrıcalıklara ve kabiliyete sahip kötü amaçlı bir kod yürütülmesine izin vereceğini belirtiyor.
Güncelleştirme: Microsoft’a göre, Windows 10 altında bu güvenlik açığından yararlanılması pek gerçekçi bir durum değildir. Hatta bu sorunun ciddiyetini “kritik” den “önemli” ye düşürdüler ve bu sistem için herhangi bir geçici çözüm kullanmanızı önermiyorlar. Ayrıca, hedefli saldırıların Windows 7 tabanlı sistemlerde olduğunu vurgulamaktadırlar.
Bir yama var mı?
14 Nisan’da Microsoft bir güncelleme yayımlayarak bu açığı yamadı.
Yapılacaklar
E-postanızı koruma altına almak için güvenilir bir güvenlik çözümü kullanmanızı (çünkü bu, kötü amaçlı belgeleri iletmek için en yaygın yöntemdir) ve ayrıca kötü amaçlı yararlanmalar da dahil olmak üzere kötü amaçlı etkinlikleri durdurabilecek koruyucu bir uç nokta çözümüne sahip olmanızı öneriyoruz. Her iki görev de Kaspersky Endpoint Security for Business advanced tarafından gerçekleştirilebilir. Nereden geldiğinden emin olmadığınız belgeleri ve e-posta eklerini açmamaktan daha iyi bir yöntem söylemeye gerek duymuyoruz.
Henüz bir yama bulunmaması nedeniyle, Microsoft şu geçici çözümleri kullanmanızı öneriyor.
- Önizleme ve ayrıntı bölmelerini kapatın.
- Webclient hizmetini kapatın (WebDAV’yi devre dışı bırakır).
- ATMFD.DLL kitaplığını devre dışı bırakın
Bu üç işlemin nasıl yapılacağına ilişkin ayrıntılı talimatları Microsoft’un güvenlik önerisinde bulabilirsiniz. Webclient hizmetinin devre dışı bırakılmasıyla, WebDAV taleplerinin işlenmemesi ve WebDAV’a dayalı uygulamaların düzgün çalışmamasına neden olacağını göz önünde bulundurmak gereklidir. Aynı durum ATMFD.DLL’nin devre dışı bırakılmasında da geçerlidir; bunu kullanan uygulamalar da düzgün şekilde çalışmayacaktır.