Adobe Type Manager Library のパッチ未適用の脆弱性を悪用する可能性のある限定的な標的型攻撃を確認したということです。今後のセキュリティ更新プログラムがリリースされるまでの対策が公開されました。
2020/4/5 追記
具体的な設定方法を追記しました。
目次
概要
Adobe Type Manager Libraryに脆弱性が存在しており、Adobe Type 1 PostScript形式のフォントを処理する場合に悪用される可能性があります。
Windows Adobe Type Manager ライブラリが特別に細工されたマルチマスター フォントの Adobe Type 1 PostScript 形式を不適切に処理する場合に、Microsoft Windows にリモートでコードが実行される脆弱性が存在します。
対象
Windows のすべてのサポートされているバージョン(Windows10、Windows8.1、Windows Server)です。
なお、サポート対象外ですがWindows7でもこの脆弱性は存在します。
攻撃方法
攻撃手段は複数考えられ、たとえば、細工されたドキュメントを開いたり、エクスプローラのプレビューウィンドウで表示した際に実行される可能性があります。
なお、Microsoftはこの脆弱性を悪用しようとする限定的な標的型攻撃を確認しているとのことです。
影響
リモートでコードが実行される
回避方法
以下の回避策があります。
・Windows エクスプローラーのプレビュー ウィンドウと詳細ウィンドウを無効にする
・WebClient サービスを無効にする
・ATMFD.DLL の名前を変更する
・ATMFD を無効にする
なお、Windows サーバーで既定で有効な Internet Explorer の “セキュリティ強化の構成” ではこの脆弱性は緩和されません。
具体的な設定方法
2020/4/5 追記
具体的な設定方法です。
①Windows エクスプローラーのプレビュー ウィンドウと詳細ウィンドウを無効にする
Active Directoryのグループポリシで設定できます。
| グループポリシ項目 | 設定値 |
| ユーザーの構成\ポリシー\管理用テンプレート\Windows コンポーネント\エクスプローラー\エクスプローラー フレーム ウィンドウ | プレビュー ペインを無効にする: 「有効」に設定 |
| ユーザーの構成\ポリシー\管理用テンプレート\Windows コンポーネント\エクスプローラー\エクスプローラー フレーム ウィンドウ | 詳細詳細ウィンドウをオンまたはオフする: 「有効」にして「常に非表示にする」に設定 |
| ユーザーの構成\ポリシー\管理用テンプレート\Windows コンポーネント\エクスプローラー | 縮小表示を無効にしてアイコンのみを表示する: 「有効」に設定 |
②WebClient サービスを無効にする
コマンドプロンプト(管理者モード)から ”SC”コマンド で設定できます。
NET STOP WebClient SC CONFIG WebClient start= disabled
これもグループポリシで設定したいところですが、Windows Server 2008 以降には WebClientサービスは存在しないので ”グループポリシにWebClientサービスは表示されません” 。
ですが、方法はあります。
それは、グループポリシの設定を ”まず、Windows10でRSATを使って行う” です。Windows10にはWebClientサービスが存在するのでグループポリシで設定することができます。
| グループポリシ項目 | 設定値 |
| コンピューターの構成\ポリシー\Windowsの設定\セキュリティの設定\システムサービス | WebClientサービス: 「無効」に設定 |
Windows オペレーティング システムのリモート サーバー管理ツール (RSAT)
<https://support.microsoft.com/ja-jp/help/2693643/remote-server-administration-tools-rsat-for-windows-operating-systems>
Windows 10 用のリモート サーバー管理ツール
<https://www.microsoft.com/ja-JP/download/details.aspx?id=45520>
③ATMFD.DLL の名前を変更する
コマンドプロンプト(管理者モード)から ”rename”コマンド で設定できます。
以下を参考にして環境に合わせて(アクセス権の設定など)スクリプトを作成し、グループポリシでPC起動時に実行するようにします
pushd "%windir%\system32" takeown.exe /f atmfd.dll icacls.exe atmfd.dll /save atmfd.dll.acl icacls.exe atmfd.dll /grant Administrators:(F) rename atmfd.dll x-atmfd.dll popd
Windows Updateでの配信
マイクロソフトはこの脆弱性の修正プログラムに取り組んでいるとのことですが、パッチの配信は ”定例リリースで公開” されるとのことです。
なお、Windows 7、Windows Server 2008、または Windows Server 2008 R2 用のこの脆弱性のセキュリティ更新プログラムを入手するには、ESU ライセンスが必要になります。
詳細については、KB4522133 を参照してください。
参考
セキュリティ アドバイザリ 200006 では、各回避策を実施する方法と元に戻す方法に関するガイダンス、回避策が適用される Windows のバージョンに関する詳細情報、各回避策の制限に関する注意事項、各回避策の考えられる影響を提供されています。
ADV200006 | Type 1 フォント解析のリモートでコードが実行される脆弱性
<https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/ADV200006>