日前,微软方面发布警告称,已发现黑客正在利用两枚0day漏洞来远程控制电脑。
分析显示,漏洞主要源于Adobe Type Manager Library不当地处理了特制的多主体字体(Adobe Type1 PostScript格式),从而允许远程攻击者诱使用户打开特制文档或在Windows预览窗格中查看文档,以此来在目标系统上执行任意恶意代码。
值得注意的是,所有Windows系统都会受到这些漏洞的影响,这意味着数十亿Windows系用户都面临着0day攻击的风险。微软方面表示,该漏洞的严重性级别为“严重”,是最高评级,微软正在努力修复这些漏洞。但考虑到微软补丁的发布计划,这意味着在下一个补丁日(4月14日)到来之前,用户将不会获得相应的补丁更新。
鉴于此种情况,微软同时发布了部分缓解措施,用户可在Windows资源管理器中禁用“预览”和“详细信息”窗格将阻止在Windows资源管理器中自动显示OTF字体。不过奇安信安全专家提醒成,虽然这可以防止在Windows资源管理器中查看恶意文件,但攻击者仍可以通过其他方式触发这些漏洞从而发起攻击。
另据了解,奇安信多条产品线已经更新了针对这些漏洞的检测规则,包括奇安信天眼新一代威胁感知系统、奇安信网神网络数据传感器和新一代智慧防火墙等,相关产品用户应尽快升级规则库至最新版本并启用对应的规则。
奇安信产品线详细解决方案
奇安信天擎客户可以使用天擎的软件分发和专杀脚本功能,向终端分发相关缓解措施的脚本。
奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则,请将规则包升级到3.0.0324. 11748及以上版本。规则名称:Microsoft Windows Type 1字体解析远程代码执行漏洞,规则ID:0x5a89。奇安信天眼流量探针(传感器)升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。
奇安信网神网络数据传感器(NDS3000/5000/7000/9000系列和vNDS1000/2000/3000系列)产品,已具备该漏洞的检测能力。规则ID为:5406,建议用户尽快升级检测规则库至2003241500以上版本并启用该检测规则。
奇安信新一代智慧防火墙(NSG3000/5000/7000/9000系列)和下一代极速防火墙(NSG3500/5500/7500/9500系列)产品系列,已通过更新IPS特征库完成了对该漏洞的防护。建议用户尽快将IPS特征库升级至” 2003241700” 及以上版本并启用规则ID: 5406进行检测防御。
