Bug nella gestione delle fonti di carattere in Windows: rischi di attacco

• Patch management

In un nuovo bollettino pubblicato nelle scorse ore Microsoft conferma l’esistenza di un nuovo problema di sicurezza che interessa gli utenti di tutte le versioni di Windows: Windows 10, Windows 8.1, Windows 7 e Windows Server 2008/2012/2016/2019.

La vulnerabilità in questione viene descritta come molto grave perché può portare all’esecuzione di codice dannoso a fronte del rendering di una fonte di carattere modificata ad arte.

Il bug interessa la libreria Adobe Type Manager e gli aggressori possono far leva su diversi strumenti per avvalersi della vulnerabilità appena venuta a galla. È sufficiente, ad esempio, che Esplora file (ovvero l’interfaccia di Windows) provi a generare l’anteprima di un font .OTF perché il codice dannoso venga automaticamente caricato ed eseguito sul sistema dell’utente.

I tecnici di Microsoft hanno già confermato di essere al lavoro su una patch correttiva che sarà certamente rilasciata il prossimo 14 aprile. Nel frattempo vengono consigliate alcune soluzioni temporanee per scongiurare rischi di attacco (anche perché gruppi di criminali informatici hanno già iniziato ad avvalersi del bug).

Suggeriamo di premere la combinazione di tasti Windows+R quindi digitare rundll32.exe shell32.dll,Options_RunDLL 0 e premere Invio: apparirà la finestra Opzioni Esplora file.
Cliccando sulla scheda Visualizzazione, bisognerà spuntare la casella Mostra sempre le icone, mai le anteprime.

Dopo aver confermato con OK, premendo Windows+E si dovrà selezionare Visualizza quindi disattivare sia Riquadro di anteprima che Riquadro dettagli.

Premendo Windows+R e digitando services.msc, è altresì consigliato cercare WebClient, cliccarvi due volte, porre il servizio su Disabilitato (menu a tendina Tipo di avvio) quindi premere Interrompi.

Solo su Windows 10 versione 1703 e precedenti, in Windows 8.1 e Windows 7, Microsoft consiglia anche di disabilitare il caricamento della libreria ATMFD.DLL.
Si può fare anche da prompt dei comandi aperto con i diritti di amministratore:

reg add HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows /v DisableATMFD /t REG_DWORD /d 1

Tutte le modifiche potranno essere annullate, ripristinando il comportamento preferito, una volta che Microsoft avrà avviato la distribuzione della patch correttiva e si sarà installato tale aggiornamento. L’ultima modifica potrà essere annullata aprendo l’Editor del registro di sistema, portandosi in corrispondenza della chiave HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows quindi rimuovendo il valore DWORD DisableATMFD e riavviando il sistema.