Microsoft heeft vanavond een waarschuwing afgegeven voor twee kwetsbaarheden in Windows 7, Windows 8.1, Windows 10 en verschillende versies van Windows Server die op het moment actief worden aangevallen en waarvoor nog geen beveiligingsupdate beschikbaar is.

De kwetsbaarheden bevinden zich in de manier waarop Windows een bepaald fontformaat verwerkt. Specifiek zit het probleem in de Adobe Type Manager (ATM) library, een geïntegreerde PostScript font library die sinds Vista in alle versies van Windows aanwezig is. Er zijn verschillende manieren waarop een aanvaller misbruik van de zerodaylekken kan maken, zoals het slachtoffer een speciaal geprepareerd document laten openen of wanneer dit document in het Windows-voorbeeldvenster (preview pane) wordt bekeken.

In het geval van Windows 10 is de impact van een aanval volgens Microsoft beperkt, omdat de aanvaller dan alleen code met beperkte rechten en mogelijkheden binnen de context van de AppContainer-sandbox kan uitvoeren. Bij andere kwetsbare Windowsversies is het echter mogelijk om in het ergste geval volledige controle over het systeem te krijgen.

Wanneer Microsoft precies met een patch komt is nog onbekend, maar de softwaregigant lijkt te hinten naar de patchdinsdag van april. In de aankondiging van de zerodaylekken wordt namelijk gesteld dat beveiligingsupdates normaal op de tweede dinsdag van elke maand verschijnen, zodat organisaties hier rekening mee kunnen houden.

Tijdelijke oplossing

Er zijn echter tijdelijke maatregelen die gebruikers en organisaties kunnen nemen om misbruik te voorkomen. Als eerste wordt aangeraden om het Windows-voorbeeldvenster en detailvenster (details pane) uit te schakelen. Dit voorkomt de automatische weergave van OTF-fonts in de Windowsverkenner. Een andere optie is het uitschakelen van de WebClient-service. Dit moet aanvallen via de Web Distributed Authoring and Versioning (WebDAV) client-service voorkomen. Een derde optie is het hernoemen van het bestand ATMFD.DLL of het uitschakelen van dit bestand. Dit kan er echter voor zorgen dat bepaalde applicaties niet goed meer werken bij het gebruik van OpenType-fonts.

In het geval van Windows 7 ontvangen alleen gebruikers met een onderhoudscontract de aanstaande beveiligingsupdate. Verdere details over de aanvallen, behalve dat ze "beperkt en gericht" zijn, heeft Microsoft niet gegeven. De term "beperkt en gericht" wordt vaak gebruikt voor aanvallen die door staten zijn uitgevoerd.