CVE-2016-7256

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-05-25

Официальное описание

A remote code execution vulnerability exists when the Windows font library improperly handles specially crafted embedded fonts. An attacker who successfully exploits this vulnerability could take control of the affected system.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2016-7256 — это критическая уязвимость в библиотеке шрифтов Microsoft Windows (Adobe Type Manager Font Driver). Проблема возникает из-за некорректной обработки специально сформированных встроенных шрифтов (OpenType, TrueType) в режиме ядра (Kernel Mode).

Злоумышленник может эксплуатировать эту брешь несколькими способами: 1. Размещение вредоносного шрифта на веб-странице (атака через браузер). 2. Отправка документа (например, MS Office или PDF) со встроенным шрифтом. 3. Открытие специально подготовленного файла в проводнике Windows (через предварительный просмотр).

Успешная эксплуатация позволяет атакующему выполнить произвольный код с правами системы (SYSTEM), что ведет к полному захвату контроля над узлом.

Как исправить

Основным и единственным надежным способом устранения уязвимости является установка официальных обновлений безопасности от Microsoft (KB3198467, KB3197867, KB3197868 или более поздние накопительные пакеты в зависимости от версии ОС).

Для проверки наличия установленного исправления через PowerShell:

Get-HotFix -Id KB3198467, KB3197867, KB3197868

Если ваша система находится на актуальной поддержке (Windows 10/11, Server 2016+), убедитесь, что установлены последние накопительные обновления (Cumulative Updates) через Центр обновления Windows:

Install-Module PSWindowsUpdate
Get-WindowsUpdate -Install -AcceptAll -AutoReboot

Временные меры

Если немедленная установка патчей невозможна, необходимо минимизировать поверхность атаки путем отключения обработки шрифтов Adobe Type Manager и блокировки встроенных шрифтов.

  1. Отключение службы FontCache (снижает вероятность автоматического рендеринга):
Stop-Service -Name FontCache
Set-Service -Name FontCache -StartupType Disabled
  1. Включение блокировки недоверенных шрифтов через реестр (для Windows 10 и выше):
Set-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows NT\MitigationOptions" -Name "MitigationOptions_FontBlocking" -Value "1000000000000"
  1. Отключение панели предварительного просмотра и сведений в проводнике Windows через реестр:
Set-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" -Name "NoReadingPane" -Value 1
  1. Рекомендуется использовать современные браузеры (Chrome, Edge, Firefox), которые запускают процессы рендеринга шрифтов в изолированных песочницах (AppContainer), что затрудняет выход за пределы процесса даже при наличии эксплойта.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей