Kritische Windows-Sicherheitslücke ausgenutzt: Microsoft kündigt Fix an

Microsoft hat Informationen zu einer kritischen Sicherheitslücke in Win­dows veröffentlicht. In dem dazugehörigen Sicherheitshinweis kündigt der Konzern dabei die Behebung der Schwachstelle an, die zur Remote Code-Ausführung genutzt werden kann.

Es geht dabei um bisher nicht gepatchte Sicherheitslücken im Umgang mit der Adobe Type Manager Bibliothek, also der Schriftenverwaltung. Microsoft hat den neuen Sicher­heits­hin­weis ADV200006 veröffentlicht, in dem es heißt, dass der Konzern vor den Risiken warnt. Es seien derzeit bereits eine begrenzte Anzahl gezielter Angriffe bekannt.

Dabei sind gleich zwei verschiedene Schwachstellen entdeckt wurden, bei denen es bei der Ver­ar­bei­tung von Adobe Type 1 PostScript-Schriftarten in der Adobe Type Manager Bibliothek (atmfd.dll) zu einem Sicherheitsproblem kommt. Diese Bibliothek wird von Microsoft seit Win­dows XP-Zeiten zur Erkennung von OpenType-Schriftarten verwendet. Wenn ein speziell ma­ni­pu­lier­tes Dokument geöffnet oder auch nur in der Vorschau des Windows Explorer an­ge­zeigt wird, kann ein Angreifer die Lücke für eine Remote Code-Aus­füh­rung nutzen, also aus der Ferne beliebigen Code auf dem Rechner des Opfers ausführen. Einzelheiten werden dazu aber nicht genannt.

Microsoft warnt nun Nutzer vor dem Risiko der Ausnutzung, damit man sich bis zur Bereitstellung eines Si­cher­heits-Updates entsprechend schützen kann. Bisher gibt es keinen Patch für den Fehler.

Problemumgehungen

Microsoft schlägt vor, vorrübergehend die Vorschau im Explorer zu deaktivieren. Für für Windows Server 2016, Windows 10 und Windows Server 2019 geht das wie folgt:

Öffnen Sie Windows-Explorer, und klicken Sie auf die Registerkarte Ansicht.

Deaktivieren Sie die beiden Menüoptionen Detailbereich und Vorschaufenster.

Klicken Sie auf Optionen und dann auf "Ordner- und Suchoptionen ändern".

Klicken Sie auf die Registerkarte Ansicht.

Aktivieren Sie unter Erweiterte Einstellungen das Kontrollkästchen "Immer Symbole statt Miniaturansichten anzeigen".

Schließen Sie alle geöffneten Instanzen von Windows-Explorer, damit die Änderung wirksam wird.

Wie man die Vorschau in den anderen betroffenen Betriebssystemen deaktiviert, erläutert das Windows-Team bei den Sicherheitsempfehlungen unter Schadensbegrenzung.

Update zum April-Patchday erwartet

Ein Angreifer kann die Sicherheitslücke auf ver­schiedene Weise ausnutzen, zum Beispiel indem er einen Benutzer dazu bringt, ein spe­ziell ge­stal­tetes Dokument zu öffnen. Klas­si­scher­weise erfolgt die Verteilung über Spam-Kam­pag­nen. "Microsoft ist sich dieser Schwach­stelle bewusst und arbeitet an einer Lösung", heißt es nun in einem Sup­port-Do­ku­ment. Dieser Secu­rity-Fix dürfte aber mit hoher Wahr­­schein­lich­keit erst zum nächsten offiziellen Patchday am 14. April erscheinen.

Entsprechende Sicherheits-Aktualisierungen erfolgen zumeist am zweiten Dienstag im Monat. Soweit bekannt ist, betrifft die Schwachstelle alle aktuellen Windows 10-Versionen, ein­schließ­lich der Server-Varianten ab Windows Server 2008 bis Windows 10 Server 2019. Auch die Systeme Windows 7 und 8.1 weisen die Schwach­stelle auf, wobei es bei Windows 7 wohl keinen Fix, aufgrund des Support-Endes, mehr geben wird.