CVE-2015-1671

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-05-25

Официальное описание

A remote code execution vulnerability exists when components of Windows, .NET Framework, Office, Lync, and Silverlight fail to properly handle TrueType fonts.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2015-1671 — это критическая уязвимость в подсистеме отрисовки шрифтов Windows (библиотека ATMFD.dll), возникающая при некорректной обработке специально сформированных шрифтов формата TrueType. Злоумышленник может эксплуатировать эту брешь для удаленного выполнения произвольного кода (RCE) в контексте текущего пользователя.

Атака обычно реализуется через: * Размещение вредоносного шрифта на веб-странице (атака через браузер). * Отправку электронного письма с вложенным документом (Office, PDF), содержащим встроенный шрифт. * Открытие пользователем специально подготовленного файла в приложениях, использующих системный движок рендеринга.

Как исправить

Основным методом устранения является установка официальных обновлений безопасности от Microsoft (бюллетень MS15-044).

  1. Для автоматического исправления запустите поиск обновлений через Центр обновления Windows (Windows Update).

  2. Для ручной установки выберите пакет обновления, соответствующий вашей версии ОС и архитектуре:

  3. Windows 7 / 8.1 / 10

  4. Windows Server 2008 / 2012

  5. Проверка версии файла ATMFD.dll (путь: %SystemRoot%\System32\atmfd.dll). После установки патча версия должна быть выше или равна указанной в бюллетене MS15-044 для конкретной ОС.

Команда для проверки версии файла через PowerShell:

(Get-Item $env:SystemRoot\System32\atmfd.dll).VersionInfo.FileVersion

Временные меры

Если немедленная установка патчей невозможна, рекомендуется применить следующие компенсирующие меры для снижения риска эксплуатации:

  1. Отключение драйвера Adobe Type Manager Font Driver (ATMFD) через реестр. Это предотвратит обработку шрифтов уязвимым компонентом.
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v DisableATMFD /t REG_DWORD /d 1 /f

Примечание: Требуется перезагрузка системы. Это может привести к некорректному отображению некоторых шрифтов в приложениях.

  1. Блокировка недоверенных шрифтов в приложениях (для Windows 10 и выше).
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel" /v MitigationOptions /t REG_QWORD /d 0x1000000000000 /f

  1. Настройка параметров безопасности в Microsoft Office для запрета загрузки сторонних шрифтов.

  2. Использование политик ограниченного использования программ (SRP) или AppLocker для запрета загрузки подозрительных библиотек, однако это является менее эффективным методом по сравнению с отключением ATMFD.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей