Active Directory(AD)管理员可以使用组策略来缓解大型AD环境中Windows Adobe Type Manager库中最近公开和积极利用的远程代码执行(RCE)零日漏洞。
微软曾在3月23日警告说,针对Windows 7设备的有限持续的有针对性的攻击,试图利用Adobe Type Manager库中的两个未修补的漏洞。
这些安全漏洞会影响同时运行台式机和服务器Windows版本的设备,包括Windows 10,Windows 8.1,Windows 7和Windows Server的多个版本。
Microsoft意识到有针对性的有限攻击可以利用Adobe Type Manager库中未修补的漏洞,并且正在提供指导以帮助降低客户风险,直到发布安全更新为止。请参阅链接查看更多细节。https://t.co/tUNjkHNZ0N
—安全响应(@msftsecresponse)2020年3月23日
为了利用安全问题,攻击者可以诱骗受害者打开恶意制作的文档或通过Windows预览窗格查看它们-Outlook预览窗格不是攻击媒介。
Microsoft已经共享了许多变通办法,旨在阻止或减少攻击滥用这些漏洞的风险,包括禁用Windows资源管理器中的“预览”和“详细信息”窗格,禁用WebClient服务以及重命名易受攻击的库(ATMFD.DLL)。
但是,要缓解企业AD环境中的攻击,Microsoft的解决方法并不容易实现。
为了减轻质量上运行容易受到虐待的Windows版本的企业设备的问题,你能做到一气呵成与组策略的帮助,微软MVP西尔科尔特斯解释在一篇博客文章。
使用GPO减轻企业负担
首先,打开GPMC控制台并通过右键单击“组策略对象”文件夹创建一个新的GPO。
然后,转到“用户配置”>“策略”>“管理模板”>“ Windows组件”>“文件资源管理器”,并启用这两个GPO选项以禁用本地和通过网络的预览:
•关闭缩略图的显示,仅显示图标
•关闭缩略图的显示,仅在网络文件夹上显示图标
Sylvain补充说:“关闭您的GPO,并将该GPO与组织中的所有自动化办公室用户帐户(简而言之,就是可以在您的工作站上使用的所有用户帐户)相关联。”
接下来,在工作站上使用GPMC创建一个新的GPO,并从“计算机配置”>“策略”>“ Windows设置”>“安全设置”>“系统服务”部分禁用WebClient服务。
此GPO必须与组织中的所有其他工作站计算机帐户关联,以使WebClient在任何地方都被禁用。
一旦Microsoft发布了针对受主动利用的RCE漏洞的补丁程序,这些漏洞会影响所有受支持的Windows版本中的字体解析组件,则应还原两个GPO。
微软表示正在为这个零日漏洞进行修复,并暗示将在本月的补丁星期二(4月14日)中发布将来的版本。
上周,0Patch平台背后的公司Acros Security 发布了微代码补丁,以减轻运行Windows 7 64位和Windows Server 2008 R2的设备上被利用的风险,这些设备未参加Microsoft的扩展安全更新(ESU)程序。