Duas falhas críticas zero-day afetam todas as versões do Windows e permitem execução de código remot

De acordo com a Microsoft, ambas as falhas estão a ser usadas em ataques que não são dirigidos ou que têm um alvo específico, mas têm impacto em todas as versões, incluindo as edições Windows 10, 8.1 e Server 2008, 2012, 2016 e 2019, assim como Windows 7, para o qual o suporte acabou em janeiro do presente ano.

As falhas residem na livraria Adobe Type Manager, um software de processamento de fontes que processa não só conteúdo por parte de software de terceiros mas também por parte do Windows Explorer para apresentar o conteúdo de um ficheiro no "painel de visualização" ou "Painel de detalhes" sem que os utilizadores o abram.

A razão de ser da falha é quando esta livraria processa de forma imprópria fontes que sejam especialmente criadas - Adobe Type 1 PostScript format, o que permite a qualquer atacante a execução de código malicioso nos dispositivos convencendo o utilizador a abrir um documento especialmente criado ao a vê-lo pelo painel de visualização.

Desta forma, como não existe ainda uma solução definitiva para o problema, só a ser anunciada no próximo Patch Tuesday - 14 de abril -, existem workarounds que devem ser aplicados:

1) Desabilitar o painel de visualização e detalhes no Windows Explorer. Para tal,

Windows Explorer - Clicar em Organizar - Layout - Desabilitar opções painel de detalhes e painel de visualização

Clicar em Organizar - Pasta - opções de pesquisa - Tab de visualização

Opções avançadas - clicar em Mostrar sempre icones, nunca na caixa thumbnails

Fechar todas janelas do Windows Explorer.

2) Desabilitar o serviço WebClient; esta ação previne ataques pelo cliente WebDAV.

Clicar em Início - selecionar Correr (Ou a tecla Windows e R no teclado), escrever Services.msc e depois OK.

Botão direito em serviço WebClient e selecionar Propriedades

Mudar Tipo de Startup ou início para Desabilitado. Se o serviço estiver a correr, parar. Clicar em Ok para sair da aplicação de gestão.

Depois deste workaround, ainda é possível para os atacantes correrem programas a partir da LAN, mas os utilizadores vão ter de confirmar antes de abrir programas que venham da Internet, segundo a própria Microsoft.

3) Renomear ou Desabilitar o ATMFD.DLL

Falamos de renomear o ficheiro Adobe Type Manager Font Driver, de forma a desabilitar temporariamente tecnologia de fonte embutida, e que poderia causar a paragem de aplicações de terceiras partes.

Numa linha de comandos por administrador: Sistemas 32-bit: cd "%windir%\system32" takeown.exe /f atmfd.dll icacls.exe atmfd.dll /save atmfd.dll.acl icacls.exe atmfd.dll /grant Administrators:(F) rename atmfd.dll x-atmfd.dll Sistemas 64-bit: cd "%windir%\system32" takeown.exe /f atmfd.dll icacls.exe atmfd.dll /save atmfd.dll.acl icacls.exe atmfd.dll /grant Administrators:(F) rename atmfd.dll x-atmfd.dll cd "%windir%\syswow64" takeown.exe /f atmfd.dll icacls.exe atmfd.dll /save atmfd.dll.acl icacls.exe atmfd.dll /grant Administrators:(F) rename atmfd.dll x-atmfd.dll