Microsoft ha informado de que existen dos vulnerabilidades de ejecución de código remoto en Windows cuando la biblioteca de Adobe Type Manager de Windows maneja incorrectamente una fuente especialmente diseñada en formato Adobe Type 1 PostScript. Hay varias formas en que un atacante podría aprovechar la vulnerabilidad, como convencer a un usuario para que abra un documento especialmente diseñado o verlo en el panel Vista previa de Windows.
Microsoft es consciente de esta vulnerabilidad y está trabajando en una solución. Las versiones del sistema operativo que se ven afectadas por esta vulnerabilidad son Windows 8.1, Windows 10 and Windows Server 2008/2012/2016/2019.
Se trata de dos problemas de ejecución de código en la librería Adobe Type Manager Library, que no maneja bien fuentes Adobe Type 1 y esto permite a un atacante ejecutar código con permisos de kernel si la víctima abre un archivo o en la previsualización de fuentes de Windows. El fallo se ha descubierto mientras era aprovechado en algunos ataques.
Hasta el momento se han descripto tres maneras de mitigar el problema, pero dependen mucho del sistema: deshabilitar el panel de previsualización de Windows desde el explorador de ficheros, deshabilitar WebClient Service y renombrar ATMFD.DLL (rename atmfd.dll x-atmfd.dll).
En Windows a partir de 1709, esta DLL no está presente, pero eso no quiere decir que no sea vulnerable. The good news is that precisely the Windows starting from 1709 process fonts using a driver called fontdrvhost.exe which is located inside an AppContainer. This makes the attacker's freedom of movement very limited. It is not known if the attacks found also allow escaping the sandbox, although it seems unlikely. Even so, they have rated the vulnerability as critical.