Plusieurs vulnérabilités zero-day de la bibliothèque Adobe Type Manager touchent les systèmes d’exploitation Windows

Microsoft a alerté de vulnérabilités dans la bibliothèque Adobe Type Manager. Les cybercriminels les exploitent déjà.

Article mis à jour le 25 mars

Microsoft a alerté de deux nouvelles vulnérabilités dans la bibliothèque Adobe Type manager. Selon les renseignements fournis par l’entreprise, certains cybercriminels les exploitent déjà pour commettre des attaques ciblées.

Qu’est-ce que la bibliothèque Adobe Type Manager et en quoi ce programme est-il vulnérable ?

À une certaine époque, pour bien voir les polices Adobe sous Windows, vous deviez installer un logiciel supplémentaire : Adobe Type manager. Ce n’était pas vraiment pratique pour les utilisateurs finaux, et c’est pourquoi Adobe a finalement communiqué les caractéristiques propres à ses formats. Windows a alors introduit les polices adéquates dans ses systèmes d’exploitation. Voilà à quoi sert la bibliothèque Adobe Type Manager de Windows.

Selon Microsoft, le problème vient de la façon dont la bibliothèque gère les polices dans un format en particulier : le format PostScript Type 1 d’Adobe. Un cybercriminel peut confectionner une police PostScript Type 1 d’Adobe de façon qu’il puisse exécuter un code arbitraire sur un dispositif Windows. Il existe plusieurs vecteurs d’attaque permettant d’exploiter cette vulnérabilité. Les escrocs peuvent, d’une quelconque façon, convaincre la victime d’ouvrir un document malveillant, ou tout simplement de le voir grâce au « volet de visualisation » (il s’agit du volet système et non d’une fonction similaire de Microsoft Outlook pour les e-mails de vos clients).

Les pirates informatiques peuvent aussi exploiter cette vulnérabilité à partir d’une extension HTTP, connue comme Web Distributed Authoring and Versioning (WebDAV), qui permet aux utilisateurs de modifier un document.

Microsoft conseille de désactiver le service WebClient, qui vous permet d’utiliser cette fonction, et souligne qu’il s’agit du vecteur d’attaque à distance le plus probable.

Quels systèmes sont vulnérables ?

La vulnérabilité existe dans les 40 versions différentes des systèmes d’exploitation Windows 10, Windows 7, Windows 8.1, Windows Server 2008, Windows Server 2012, Windows Server 2016 et Windows Server 2019. L’avertissement de sécurité ADV200006 de Windows fournit la liste complète des systèmes vulnérables.

D’autre part, l’entreprise explique que pour les systèmes qui exécutent des versions prises en charge de Windows 10, une attaque réussie ne pourrait entraîner qu’une exécution de code dans un contexte de sandbox AppContainer avec des privilèges et fonctionnalités limités.

Mise à jour : Selon Microsoft, l’exploitation de cette vulnérabilité sous Windows 10 est improbable. L’entreprise a même réduit la sévérité du problème, passant de  » critique  » à  » important « , et déconseille aux utilisateurs d’utiliser une solution de contournement. De plus, Microsoft souligne que les attaques ciblées s’en prennent principalement aux systèmes sous Windows 7.

Existe-t-il un patch ?

Au moment où nous publions cet article, Microsoft n’a pas encore corrigé la vulnérabilité de la bibliothèque Adobe Type Manager. Microsoft envisage tout de même de lancer un patch lors du prochain Patch Tuesday prévu pour le 14 avril. Nous mettrons à jour cet article dès que le correctif sera disponible.

Que faire ?

En ce qui nous concerne, nous vous conseillons d’utiliser une solution de sécurité fiable pour protéger votre adresse e-mail (puisqu’il s’agit de la méthode la plus souvent utilisée pour envoyer des documents malveillants) et d’avoir une solution de protection pour vos terminaux afin d’intercepter toute activité malveillante, y compris les exploits. Kaspersky Endpoint Security for Business Advanced peut parfaitement gérer toutes ces tâches. Il va sans dire qu’il vaut mieux éviter d’ouvrir les documents et les pièces jointes que vous recevez de la part d’un inconnu.

Comme il n’existe actuellement aucun patch, Microsoft vous conseille de suivre cette solution de contournement :

  1. Désactivez les options de menu Volet des détails et Volet de visualisation.
  2. Désactivez le service Webclient (et donc WebDAV).
  3. Désactivez la bibliothèque ATMFD.DLL.

Vous pouvez obtenir toutes les instructions détaillées permettant de réaliser ces trois actions dans les conseils de sécurité publiés par Microsoft. Il convient de souligner qu’en désactivant le service Webclient, les demandes WebDAV ne seront pas gérées et que le fonctionnement des applications qui reposent sur WebDAV sera altéré. Cela s’applique également au fichier ATMFD.DLL puisque les applications l’utilisant ne fonctionneront pas correctement.

Conseils