Windowsにリモートコードが実行されるゼロデイ脆弱性、パッチ提供まで回避策の実施を

セキュリティアドバイザリ“ADV200006”

　米Microsoftは3月23日（現地時間）、セキュリティアドバイザリ“ADV200006”を公開した。Windowsにリモートコードが実行される脆弱性が2件存在し、限定的な標的型攻撃も確認されているという。同社は来月のパッチチューズデー（米国時間で第2火曜日）にセキュリティ修正プログラムを公開するとし、それまで緩和策を実施するよう呼び掛けている。

　同社によると、Windowsの「Adobe Type Manager」（ATM）ライブラリにはマルチマスターフォントの「Adobe Type 1」PostScript形式を処理するプロセスにセキュリティ欠陥があり、リモートでコードが実行される可能性がある。サポートされているバージョンのWindows 10環境の場合、攻撃が成功すると、制限された特権および機能で“AppContainer”サンドボックスのコンテキスト内でコードが実行される可能性があるという。

　攻撃者がこの脆弱性を悪用する手段としては、細工を施したドキュメントを開かせたり、「エクスプローラー」のプレビューウィンドウでファイルを表示させるよう仕向ける方法が考えられる。そのため、同社はこの機能を無効化する方法を複数案内している（Windows 8.1/Server 2012 R2以前のOSも対象）。

「エクスプローラー」のプレビューウィンドウと詳細ウィンドウを無効にする

　「エクスプローラー」のプレビューウィンドウと詳細ウィンドウを無効にすると、OTFフォントが自動で表示されなくなるため、「エクスプローラー」で悪意のあるファイルが表示されることはなくなる。ただし、ユーザーが攻撃ファイルを開くことは防げないので注意したい。

　Windows 10の場合、以下の手順で無効化できる。

1. 「エクスプローラー」を開き、［表示］タブをクリックする
2. ［詳細ウィンドウ］と［プレビュー ウィンドウ］のメニュー オプションの両方をOFFにする
3. ［オプション］をクリックし、［フォルダーと検索のオプションの変更］をクリックする
4. ［表示］タブをクリックする
5. ［詳細設定］で、［常にアイコンを表示し、縮小版は表示しない］チェック ボックスをONにする
6. 「エクスプローラー」のインスタンスをすべて閉じて、変更を有効にする

「エクスプローラー」のプレビューウィンドウと詳細ウィンドウを無効に

「WebClient」サービスを無効にする

　「WebClient」サービスを無効にすると、WebDAVクライアントサービスを介したリモート攻撃をブロックできる。WebDAVはこの脆弱性を悪用する攻撃にもっとも利用されやすいと考えられており、一定の効果がある。

「ATMFD.DLL」の名前を変更する

　最後に、「Adobe Type Manager」ライブラリの名前を変えてしまう方法が案内されている。32bit版の場合は、以下のスクリプトでリネームが可能。

cd "%windir%\system32"
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F)
rename atmfd.dll x-atmfd.dll

　64bit版の場合は、以下のスクリプトが利用できる。いずれも実行後にOSの再起動が必要だ。

cd "%windir%\system32"
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F)
rename atmfd.dll x-atmfd.dll
cd "%windir%\syswow64"
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F)
rename atmfd.dll x-atmfd.dll