Microsoft a publié hier un correctif d'urgence via des mises à jour automatiques de toutes les versions prises en charge de son système d'exploitation Windows qui corrige un problème critique qui pourrait permettre l'exécution de code à distance lorsqu'il est exploité avec succès.
Plus précisément, la vulnérabilité exploite un problème dans la bibliothèque Windows Adobe Type Manager lorsque des documents spécialement conçus avec des polices OpenType sont chargés sur le système.
Cela peut se produire lorsque les utilisateurs ouvrent directement des documents malveillants sur le système ou lorsqu'ils visitent des sites Web qui utilisent des polices OpenType intégrées. Étant donné que l'ATM peut être utilisé par d'autres programmes qu'Internet Explorer, il peut affecter les systèmes où d'autres navigateurs Web sont utilisés pour naviguer sur Internet ou ouvrir des documents.
Lorsqu'ils sont exploités avec succès, les attaquants peuvent prendre le contrôle du système en installant ou en supprimant des programmes, en modifiant des comptes d'utilisateurs ou en supprimant des données.
Il est intéressant de noter que le correctif remplace MS15-077 (KB3077657) que Microsoft a publié le 14 juillet 2015 qui corrigeait une vulnérabilité d'élévation de privilèges dans le pilote de police Adobe Type Manager.
La vulnérabilité affecte toutes les versions de Windows, y compris les versions Windows XP et Windows 2003 non prises en charge. Alors que Windows XP n'a reçu aucun des deux correctifs, Windows 2003 a reçu le premier des deux mais pas le second en raison de la fin de vie du support.
Les administrateurs et les utilisateurs de Microsoft Windows XP et Windows 2003 peuvent trouver les instructions de contournement manuelles utiles sur le site Web officiel du bulletin qu'ils peuvent utiliser pour protéger les systèmes contre les exploits. La société propose de renommer le fichier atmfd.dll sur les systèmes antérieurs à Windows 8 et pour désactiver Adobe Type Manager sur les systèmes Windows 8 ou ultérieurs.
Renommer atmfd.dll sur les systèmes 32 bits
cd "%windir%\system32"
prendre possession.exe /f atmfd.dll
icacls.exe atmfd.dll / enregistrer atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrateurs :(F)
renommer atmfd.dll x-atmfd.dll
Renommer atmfd.dll sur les systèmes 64 bits
cd "%windir%\system32"
prendre possession.exe /f atmfd.dll
icacls.exe atmfd.dll / enregistrer atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrateurs :(F)
renommer atmfd.dll x-atmfd.dll
cd "%windir%\syswow64"
prendre possession.exe /f atmfd.dll
icacls.exe atmfd.dll / enregistrer atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrateurs :(F)
renommer atmfd.dll x-atmfd.dll
Désactiver atmfd sur Windows 8 ou version ultérieure
- Appuyez sur la touche Windows, tapez regedit et appuyez sur Entrée.
- Accédez à la clé : HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\DisableATMFD
- Si DisableATMFD n'existe pas, cliquez avec le bouton droit sur Windows et sélectionnez Nouveau > Valeur Dword (32 bits).
- Mettre sa valeur à 1.
Le correctif que Microsoft a publié aujourd'hui corrige la vulnérabilité sur tous les systèmes pris en charge. Il peut être installé via des mises à jour automatiques sur les systèmes domestiques du système d'exploitation, ou téléchargé via le centre de téléchargement de Microsoft. Les liens de téléchargement pour chaque système d'exploitation concerné sont fournis sous « logiciels concernés » sur la page d'assistance MS15-078.
Microsoft déclare que la vulnérabilité est publique mais qu'il n'a pas connaissance d'attaques l'utilisant actuellement. La nature de la version d'urgence du correctif indique une forte probabilité que le problème soit exploité dans un proche avenir.
L'exploit a été découvert après que des pirates ont divulgué des fichiers internes de la société italienne Hacking Team.