本日から不定期で少しづつ英語の記事を自分なりに和訳したものをアップロードしていきます。

このはセキュリティ関連のものが多くなります。

目的は、英語に慣れることと、最新の動向を少しでもつかむためです。

概要は関連文献の内容を含む場合があります．

• 概要

日付：2020-03-23

Microsoftはtype 1フォントのパーサにゼロデイのRCE脆弱性が存在することを公表した。本脆弱性はAdobe Type 1 PostScript形式の細工されたフォントをパーサが適切に処理しない場合，特権と機能が制限されたAppContainer sandbox の環境内でのみ任意のコードが遠隔より実行される．

本脆弱性については，パッチは現在のところ存在しないが，以下の3つの緩和策が実行できる．

• Windows Explorer上でプレビューペインと詳細ペインを無効にする
• WebClientサービスを無効にする
• ATMFD.DLLをリネームする

サポートされているWindows 10 (1809以降のバージョン)においては，3つ目の緩和策がバージョンアップの際に実施されており，サポートされているWindows 10において攻撃が成功する可能性は低く，攻撃も確認されていない．

Windows 10のサポートされているバージョンへのアップグレードが対策として推奨されている．

• 和訳

 Microsoft社はtype 1 fontのパーサにゼロデイのRCE脆弱性が存在し、制限付きで悪用できることを公表した。

WindowsにおけるWindows Adob​​e Type Manager Libraryの中には2つのRCE脆弱性があり、それはAdobe Type PostScript形式をパースした際に発現する。ドキュメントのように、複数の攻撃経路が存在する。

Microsoftはパッチにパソコンでいる。

影響を緩和するには以下のアクションを実行する：

• Windows Explorer上でプレビューペインと詳細ペインを無効にする
• WebClientサービスを無効にする
• ATMFD.DLLをリネームする

そのアドバイザリーの中で、Microsoftが指摘している以下の内容を引用する：

サポートされているバージョンのWindows 10が実行されているシステムの場合攻撃が成功すると限られた特権と能力をApp Container sandboxの環境の範囲で

更新：私が利用できる1809よりも古いバージョンのWindows 10マシンに限りATMFD.DLLは発見できなかった。このDLLは1809へバージョンアップする際に削除されたに違いない、そしてこれは、Microsoftの引用がWindows 10およびAppContainer sandboxのサポートされているバージョンについて説明していたのだろう。
（1803およびそれ以前のバージョンはもはやサポートしていない）

更新2：Microsoftはアドバイザリーをバージョン1.1に更新した、その内容は、ATMFD.DLL（カーネルモードのフォントドライバー）はAppContainerの中で動作しているFONTDRVHOST.exeによって置き換えられていることを確認している．言い換えれば、この脆弱性はWindows 7，8およびより古いバージョンのWindows 10のカーネルモードのフォントパースコードの内部にあり、もはやカーネルの内部ではなく限られた特権におけるAppContainerの中にある。

• 原文
  

マイクロソフトは、タイプ1フォントパーサーのゼロデイリモートコード実行の脆弱性の限定的な悪用を発表しました。

Adobe Type PostScript形式を解析する場合、WindowsシステムのWindows Adob​​e Type Managerライブラリに2つのRCE脆弱性があります。ドキュメントのように、複数の攻撃経路があります。

マイクロソフトはパッチに取り組んでいます。

次の緩和アクションを実行できます。

• Windowsエクスプローラーのプレビューウィンドウと詳細ウィンドウを無効にする
• WebClientサービスを無効にする
• ATMFD.DLLの名前を変更する

Microsoftがその勧告で次のように指摘していることに注意してください。

サポートされているバージョンのWindows 10を実行しているシステムの場合、攻撃が成功すると、限られた特権と機能しか持たないアプリコンテナーサンドボックスコンテキスト内でコードが実行される可能性があります。

更新：1809より前のバージョンでない限り、アクセスできるWindows 10マシンでATMFD.DLLを見つけることができません。このDLLは、1809にアップグレードするときに削除する必要があります。これにより、サポートされているバージョンに関するMicrosoftのコメントを説明できますWindows 10およびAppContainerサンドボックス（1803以前はサポートされなくなりました）。

更新2：マイクロソフトはこのアドバイザリをバージョン1.1に更新し、ATMFD.DLL（カーネルモードフォントドライバー）がAppContainerで実行されているFONTDRVHOST.exeに置き換えられたことを確認しました。言い換えると、Windows 7、8、および古いバージョンのWindows 10のカーネルモードフォント解析コード内にあるこの脆弱性は、カーネル内ではなく、制限付きの権限を持つAppContainerにあります。 

• 所感/メモ

 RCEかつゼロデイの脆弱性だったので，かなり大きな反響になるかと思いきや，中身を見てみると限られた範囲内でかつサポートされていないバージョンでしか起こりえない脆弱性であることが判明したので，本脆弱性が表立って悪用される可能性は低いと思う．また，最新版にしていれば自然と攻撃を回避できることから，常日頃からソフトウェアのバージョンアップは実施しておくことがセキュリティ対策の基本であるということを改めて感じた．

• AppContainer
  Windowsが持つサンドボックス機能．怪しいソフトウェアを制限された環境内で実行して動作を確かめたい場合などに使用する
  
  
• DLL
  Dynamic Link Library．
  複数のプログラムで同時に実行できるコードとデータを含むライブラリのこと．
  
  

• カーネルモード
  オペレーティングシステムのコアコンポーネントが動作するモード．
  独立していないので，クラッシュするとシステム全体に影響が及ぶ
  
  
• ユーザーモード
  アプリケーションが動作するモード．
  独立しているので，ユーザーモードで動作しているアプリケーションがクラッシュしても，ほかのアプリケーションやオペレーティングシステムが影響を受けることはない．

• 出典
  https://isc.sans.edu/diary/rss/25936

• 関連文献

 https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/adv200006
https://docs.microsoft.com/ja-jp/windows-hardware/drivers/gettingstarted/user-mode-and-kernel-mode