Microsoft warnt vor aktiv ausgenutzter Zero-Day-Schwachstelle

Microsoft warnt in einem Sicherheitshinweis vor einer kritischen Zero-Day-Schwachstelle in Windows, die von Cyberkriminellen bereits ausgenutzt wird. Die Sicherheitslücke befindet sich in der Adobe Type Manager Library. Laut Microsoft gibt es in dieser Bibliothek zwei Schwachstellen, die eine Remotecodeausführung (RCE) erlauben. Ein Patch für die Sicherheitslücken hat der Windows-Hersteller noch nicht veröffentlicht, plant aber, diesen zum regulären April-Patchday auszuliefern.

Alle derzeit unterstützten Versionen der Betriebssysteme Windows und Windows Server sind laut Sicherheitshinweis von der Schwachstelle betroffen. Windows 7, das derzeit nicht mehr unterstützt wird, weist die kritische Schwachstelle ebenfalls auf. „Es gibt mehrere Möglichkeiten, wie ein Angreifer die Schwachstellen ausnutzen könnte, wie einen Benutzer davon zu überzeugen, ein speziell gestaltetes Dokument zu öffnen oder es in der Windows-Vorschau anzuzeigen“, teilt Microsoft mit.

Benutzer von Windows 7, Windows Server 2008 oder Windows Server 2008 R2 benötigen eine ESU-Lizenz (Extended Security Update), um Sicherheitsupdates zur Behebung dieser Probleme zu erhalten. Auf Windows 10-Geräten führt die erfolgreiche Ausnutzung der beiden Zero-Day-Sicherheitslücken laut Microsoft nur zu einer Codeausführung mit eingeschränkten Berechtigungen und Fähigkeiten innerhalb einer AppContainer-Sandbox. Angreifer könnten jedoch weiterhin potenziell Programme installieren, Daten anzeigen, ändern oder löschen oder sogar neue Konten mit vollen Benutzerrechten erstellen.

Um den möglichen Angriffen aus dem Weg zu gehen, hat Microsoft mehrere Maßnahmen empfohlen:

• Deaktivieren des Vorschaubereichs und des Detailbereichs im Windows-Explorer:
  Hierfür öffnet man den Explorer und klickt auf Ansicht. Unter Optionen aktiviert man den Eintrag „Immer Symbole statt Miniaturansichten anzeigen“.
• Deaktivieren des WebClient-Service:
  Die Deaktivierung des WebClient-Service hilft, betroffene Systeme vor Versuchen zu schützen, diese Schwachstelle auszunutzen, indem der wahrscheinlichste Angriffsvektor blockiert wird. Nach der Anwendung dieser Workarounds ist es für entfernte Angreifer, die diese Schwachstelle erfolgreich ausnutzen, immer noch möglich, das System dazu zu bringen, Programme auszuführen, die sich auf dem Computer des Zielbenutzers oder im Local Area Network (LAN) befinden, aber die Benutzer werden vor dem Öffnen beliebiger Programme aus dem Internet zur Bestätigung aufgefordert.
• ATMFD.DLL umbenennen
  Bei neueren Windows-Versionen gibt es die Datei ATMFD.DLL nicht mehr. Dafür existiert die Datei ATMLIB.DLL, wobei es sich laut Beschreibung um die im Sicherheitshinweis genannte Adobe Type Manager Library handelt. Diese sollte man vorsichtshalber ebenfalls umbenennen. Dabei ist darauf zu achten, dass bei Verwendung einer deutschen Windows-Version, der im Workaround von Microsoft beschrieben Parameter „Administrators“ durch „Administratoren“ ersetzt wird.