Dit is een echte
PATCH NOW!Het bezoeken van een gehackte website, of een website met een kwaadaardige advertentie, volstaat. De aanvaller krijgt meteen SYSTEM privileges en het maak niet uit welke webbrowser je gebruikt - tenzij je font-downloads hebt uitgeschakeld (of NoScript gebruikt met Options -> Embeddings -> Forbid @font-face).
Echter, het bekijken van een kwaadaardig PDF of Office bestand volstaat waarschijnlijk ook (in de zin dat een aanvaller jouw Windows systeem compleet kan overnemen).
In
https://technet.microsoft.com/en-us/library/security/MS15-078 worden ook enkele workarounds beschreven waarmee "atmfd.dll" effectief wordt uitgeschakeld (op 64-bit systemen moet dat in zowel System32 als SysWOW64). De bijwerking daarvan is dat er geen OpenType/ATM fonts meer getoond worden.
MS15-078 (CVE-2015-2426 / KB3079904) is een update van de vorige week verschenen
https://technet.microsoft.com/en-us/library/security/MS15-077. Microsoft heeft de nieuwe patch (MS015-078) ongekend snel uitgebracht. Uit MS015-078:
When this security bulletin was issued, Microsoft had information to indicate that this vulnerability was public but did not have any information to indicate this vulnerability had been used to attack customers. Our analysis has shown that exploit code could be created in such a way that an attacker could consistently exploit this vulnerability.
Het zou mij niet verbazen als dit een door Hacking Team gevonden exploit is die anderhalve week geleden zijn gepubliceerd. De digitale handtekening over bijv. Windows6.1-KB3079904-x64.msu is gezet op 15 juli 2015 19:00:14 UTC (voordat updates worden vrijgegeven neemt Microsoft daarna meestal nog tijd om te testen). Ik verwacht op korte termijn (als we pech hebben, enkele dagen) exploits hiervoor op websites en in spam met bijlagen (gespamde e-mail met embedded fonts sluit ik ook niet uit).
Bron:
https://isc.sans.edu/forums/diary/Special+Microsoft+Bulletin+Patching+Remote+Code+Execution+Flaw+in+OpenType+Font+Drivers/19941/(Ik was dit al op het forum aan het schrijven en besloot vóór het posten even de voorpagina te checken - en ziedaar, de Redactie was mij voor ;)
Aanvulling 22:25: het versienummer van de oude (5.1.2.241) en nieuwe (5.1.2.243) atmfd.dll komt niet daadwerkelijk zo in de file voor; in plaats daarvan staat er voor zowel "file version" als "product version" respectievelijk "5.1 build 241" en "5.1 build 243".
Of de update al op jouw PC geïnstalleerd is, zie je door met Verkenner (Explorer) C:\Windows\System32 te openen en rechts op
atmfd.dll te klikken, Eigenschappen (Properties) te kiezen en Details te bekijken. Een alternatief daarvoor is:
sigcheck c:\windows\system32\atmfd.dll
in een command-promt venster uitvoeren. Daarvoor moet je wel Sigcheck.exe van Mark Russinovich op je PC ergen sin PATH hebben, dat tooltje klun je hier downloaden:
https://technet.microsoft.com/en-us/sysinternals/bb897441. Meer info over dat tooltje schreef Didier Stevens vandaag in
https://isc.sans.edu/forums/diary/Sigcheck+and+VirusTotal/19935/.