Microsoft för en ständigt pågående kamp med att säkra företagets operativsystem för de sårbarheter och angreppsmöjligheter som både illvilliga angripare och säkerhetsforskare upptäcker. Företagets senaste huvudbry är en sårbarhet i ett Adobe Type Manager-bibliotek, som redan används för riktade attacker mot Windows-system.

Sårbarheten ligger i en bugg i typsnittsbiblioteket Adobe Type Manager som gör det möjligt för en angripare att infektera dokument. Det allvarliga i detta är att biblioteket finns förinstallerat i Windows, och användarens system kan därmed fjärrangripas oavsett om användaren har Adobe-mjukvara installerad eller ej. Detta gör det möjligt att angripa användaren genom att ett infekterat dokument laddas ned och öppnas av användaren. Sårbarheten beskrivs som kritisk av Microsoft.

Sårbarheten gäller för konsumentsystemen Windows 7, Windows 8 och Windows 10 i 32- och 64-bitars utförande samt Windows Server 2008, 2012, 2016 och 2019. För Windows 10 version 1703 eller senare saknar sårbarheten möjligheten att vinna administratörsrättigheter då koden exekveras i isolerade container-behållare.

Tidigare versioner är utrustade med DLL-filen ATMFD.DLL, vilken är en av komponenterna i sårbarheten, och rekommendationen är att ta bort eller ändra namn på denna för den som använder äldre versioner av Windows 10. Microsofts uppgifter anger inte tydligt hur sårbarheten påverkar system som inte stöder container-tekniken.

Företaget anger dock att Windows 10 version 1607 och tidigare exekverar typsnitt i systemets Kernel-läge och bör därmed vara fullt sårbara för attacker. Då Microsoft utfärdar säkerhetsuppdateringar den andra tisdagen i månaden dyker en åtgärd för problemet upp först den 14 april.

windows_10_explorer.jpg

Bildkälla: Nikka Systems.

windows_10_webclient.jpg

Bildkälla: Nikka Systems.

IT-säkerhetsutbildaren Karl Emil Nikka delar med sig av tips för den som använder äldre versioner av Windows, eller en sårbar version av Windows 10. En av metoderna som applicerar på alla angrepp av denna typ är att stänga av förhandsvisningar av dokument i Utforskaren. Där ska användaren öppna inställningsalternativet Mappalternativ och kryssa för alternativet Visa alltid ikoner, aldrig miniatyrer.

En annan metod för angrepp är via internetansluten åtkomst i form av nätverksprotokollet Webdav. Genom att stänga av detta kan angreppen inte ske automatiskt på samma sätt utan kräver viss interaktion med användaren. Detta stängs av genom att köra Services.msc i Kör-fältet eller Windows 10-menyn. I listan väljs alternativet Webclient och sedan Inställningar. Välj sedan Inaktiverad i rullgardinsmenyn.

Dessa åtgärder gäller endast Windows 10, men detaljerade tips för hur användare avlägsnar DLL-filen för äldre operativsystem finns på Microsofts sida för sårbarheten. När företaget släpper säkerhetsuppdateringarna med åtgärder för Windows 10 den 14 april kan dessa manuella åtgärder återställas.

Läs mer om sårbarheter i Windows: