Aktivt utnyttjad Windows-sårbarhet saknar patch

Microsoft har upptäckt en sårbarhet i Windows som tyvärr redan används i riktade attacker. På grund av en bugg i Windows Adobe Type Manager-biblioteket kan angripare infektera datorer genom att lura användare att öppna eller förhandsvisa ett infekterat dokument. Sårbarheten i sig kan lyckligtvis inte utnyttjas för att få administratörsrättigheter på datorn (tillägg: gäller underhållna versioner av Windows 10), men den är ändå klassad som kritisk.

Microsoft kommer att täppa till sårbarheten på underhållna Windows-datorer nästa patch-tisdag (14:e april). Fram till dess kan nedanstående steg vidtas för att minimera infektionsriskerna och -konsekvenserna. Vi rekommenderar dessa åtgärder för datorer som är säkerhetskritiska eller används av personer som är utsatta för riktade attacker. Normalanvändare kan, enligt oss, bortse från dessa instruktioner och invänta nästa månads automatiska patch.

Varning! Windows 7-datorer underhålls inte längre med säkerhetsuppdateringar. Samtliga listade åtgärder bör vidtas på eventuella kvarvarande Windows 7-datorer. Den än så länge riktade attacken lär börja användas på bred front inom kort. Läs mer om pensioneringen av Windows 7 i vår artikel Slutet har kommit för Windows 7.

Kör en aktuell version av Windows 10

Sedan släppet av Windows 10 1703 isolerar Windows typsnittshanteringen i en container, vilket begränsar skadan som sårbarheten kan orsaka. Microsoft beskriver det själva på följande vis utan att ge några mer konkreta exempel.

For systems running supported versions of Windows 10 a successful attack could only result in code execution within an AppContainer sandbox context with limited privileges and capabilities.

Microsoft Security Advisory

Windows 10 uppdateras automatiskt till den senaste versionen för alla hemanvändare. På företagsdatorer sker uppdateringen enligt organisationens rutiner. Du kan se vilken version av Windows 10 som din dator kör genom att öppna Om din dator i Systeminställningar. Den måste köra Windows 10 1709 eller senare.

Inställningar-appen visar att datorn kör Windows 10 1909.
Alices dator kör version 1909 av Windows 10.

Stäng av förhandsvisning i Utforskaren

Förhandsvisning av infekterade dokument är ett av attacksätten. Stäng av förhandsvisning i Utforskaren genom att öppna Utforskaren och kontrollera att varken Förhandsvisningsfönstret eller Informationsfönstret är aktivt (orange markering). Öppna sedan Mappalternativ och kryssa i Visa alltid ikoner, aldrig miniatyrer (grön markering).

Rekommenderade inställningar för Utforskaren i Windows
Rekommenderade inställningar för Utforskaren i Windows

Stäng av Webclient

Attacken kan också utnyttjas genom Webdav. Microsoft beskriver hur följande åtgärd minimerar risken att bli infekterad genom den attackvektorn. Åtgärden löser inte problemet, men den gör att det åtminstone krävs användarinteraktion för att bli infekterad (användaren måste godkänna att det skadliga programmet körs).  

Starta Services.msc (skriv Services.msc på startmenyn eller i körrutan), högerklicka på Webclient och välj Inställningar. Stoppa tjänsten om den körs och välj Inaktiverad i rullgardinsmenyn för startmetod.

Rekommenderade inställningar för Webclient i Windows
Rekommenderade inställningar för Webclient i Windows

För äldre datorer

Datorer som kör Windows 7, Windows 8 och föråldrade versioner av Windows 10 har inte det tidigare nämnda containerskyddet. För dessa datorer föreslår Microsoft att den sårbarhetsorsakande dll-filen tas ur bruk genom att byta namn på den. Instruktioner för hur detta görs finns på Microsofts webbplats. Denna åtgärd behövs inte på aktuella versioner av Windows 10 eftersom dll-filen inte används där (i de senaste Windows 10-versionerna är dll-filen till och med borttagen).

Återställning

När Microsoft om några veckor har åtgärdat sårbarheten går det utmärkt att ändra tillbaka till de tidigare inställningarna för Utforskaren och för Webdav. Mer information om sårbarheten och åtgärderna finns på Microsofts webbplats.

Denna artikel är publicerad under CC BY 4.0-licens med undantag för bilder där en annan fotograf är angiven.