Οι διαχειριστές της υπηρεσίας Active Directory (AD) της Microsoft μπορούν να μετριάσουν τις επιπτώσεις της νέας zero-day ευπάθειας, που αποκαλύφθηκε πρόσφατα και επιτρέπει την απομακρυσμένη εκτέλεση κώδικα στο Windows Adobe Type Manager Library σε μεγάλα περιβάλλοντα AD. Ο μετριασμός μπορεί να γίνει με τη χρήση του group policy (GPO).
Η Microsoft είχε πει στις 23 Μαρτίου ότι έχουν εντοπιστεί κάποιες στοχευμένες επιθέσεις σε συσκευές που τρέχουν τα Windows 7, επιχειρώντας να εκμεταλλευτούν δύο μη διορθωμένες ευπάθειες (τη νέα και μια πιο παλιά) στο Adobe Type Manager Library.
Οι ευπάθειες επηρεάζουν τις συσκευές που τρέχουν desktop και server Windows εκδόσεις, συμπεριλαμβανομένων των Windows 10, των Windows 8.1, των Windows 7 και πολλαπλών εκδόσεων Windows Server.
Για να εκμεταλλευτούν τα ζητήματα ασφάλειας, οι εισβολείς εξαπατούν τα θύματα, ώστε να ανοίξουν κακόβουλα έγγραφα ή απλά να τα προβάλουν μέσω Windows Preview pane.
Η Microsoft έχει ήδη δώσει κάποιες λύσεις για να περιοριστούν οι κίνδυνοι που προέρχονται από τις επιθέσεις που χρησιμοποιούν αυτές τις ευπάθειες. Κάποιες από αυτές τις λύσεις είναι η απενεργοποίηση του Preview και του Details pane στο Windows Explorer, η απενεργοποίηση της υπηρεσίας WebClient και η μετονομασία της ευάλωτης βιβλιοθήκης (ATMFD.DLL).
Ωστόσο, οι λύσεις της Microsoft δεν είναι εύκολο να εφαρμοστούν για να μετριάσουν τις επιθέσεις στο AD περιβάλλον μιας επιχείρησης.
Σύμφωνα με τον Sylvain Cortes, μπορείτε να μετριάσετε το πρόβλημα με τη βοήθεια του group policy (Group Policy Object-GPO).
Χρήση GPOs για μετριασμό του κινδύνου σε επιχειρήσεις
Πρώτα απ’ όλα, ανοίξτε την κονσόλα GPMC και δημιουργήστε ένα νέο GPO κάνοντας δεξί κλικ στο φάκελο «Group Policy Objects».
Στη συνέχεια, μεταβείτε στα: User Configuration>Policies>Administrative Templates>Windows Components>File Explorer και ενεργοποιήστε τις δύο επιλογές GPO που φαίνονται στην παρακάτω εικόνα. Με αυτό τον τρόπο θα απενεργοποιήσετε την προεπισκόπηση (preview) τοπικά και σε όλο το δίκτυο.
“Κλείστε το GPO και συνδέστε αυτό το GPO με όλους τους λογαριασμούς χρήστη στον οργανισμό σας”, πρόσθεσε ο Sylvain.
Στη συνέχεια, δημιουργήστε ένα νέο GPO μέσω του GPMC και απενεργοποιήστε την υπηρεσία WebClient από την ενότητα Computer Configuration>Policies>Windows Settings>Security Settings>System Services.
Αυτό το GPO πρέπει, επίσης, να συνδεθεί με όλους τους λογαριασμούς στον οργανισμό σας, ώστε να απενεργοποιηθεί παντού το WebClient.
Και τα δύο GPO θα πρέπει να επανέλθουν, όταν η Microsoft κυκλοφορήσει μια ενημερωμένη έκδοση για τη διόρθωση των font parsing zero-day ευπαθειών.
Η Microsoft δήλωσε ότι εργάζεται για τη διόρθωση της zero-day ευπάθειας και υπαινίχθηκε ότι αυτό θα γίνει με την κυκλοφορία του νέου Patch Tuesday (στις 14 Απριλίου).
