Microsoft Windows Adobe Font Manager Library Remote Code Execution Vulnerability — Microsoft Windows Adobe Font Manager Library contains an unspecified vulnerability when handling specially crafted multi-master fonts (Adobe Type 1 PostScript format) that allows for remote code execution for all systems except Windows 10. For systems running Windows 10, an attacker who successfully exploited the vulnerability could execute code in an AppContainer sandbox context with limited privileges and capabilities.
CVE-2020-0938 is a critical remote code execution vulnerability in the Microsoft Windows Adobe Font Manager Library affecting all Windows versions prior to Windows 10, with a CVSS score of 9.0. The flaw is triggered by specially crafted multi-master fonts in Adobe Type 1 PostScript format, allowing attackers to execute arbitrary code without user interaction beyond viewing a malicious file. Windows 10 systems are partially protected via AppContainer sandbox isolation, but all legacy Windows systems face full remote code execution risk. Active exploits are confirmed in the wild, making immediate patching and compensating controls essential for all Saudi organizations.
IMMEDIATE ACTIONS:
1. Apply Microsoft security update MS20-April (KB4550945 or relevant cumulative update) immediately across all affected Windows systems.
2. Prioritize patching of Windows 7, Windows Server 2008/2012/2016 systems as they face full RCE risk without AppContainer mitigation.
COMPENSATING CONTROLS (if patching is delayed):
1. Disable the Preview Pane and Details Pane in Windows Explorer to prevent automatic font rendering.
2. Disable the WebClient service to block WebDAV-based attack vectors: sc config webclient start=disabled && net stop webclient
3. Rename or restrict access to ATMFD.DLL: takeown /f %windir%\system32\atmfd.dll && icacls %windir%\system32\atmfd.dll /save atmfd_ACL /T && icacls %windir%\system32\atmfd.dll /deny everyone:(F)
4. Block inbound SMB traffic at perimeter firewalls (TCP 445) to reduce lateral movement risk.
5. Deploy application whitelisting to prevent execution of unauthorized font-processing binaries.
DETECTION RULES:
1. Monitor for unusual child processes spawned by explorer.exe or svchost.exe.
2. Alert on access to ATMFD.DLL from non-system processes.
3. Enable Windows Event ID 4688 (process creation) and correlate with font-related file access.
4. Deploy YARA/Sigma rules targeting Adobe Type 1 PostScript font file anomalies in email gateways and web proxies.
5. Monitor for WebDAV connections to external hosts from workstations.
الإجراءات الفورية:
1. تطبيق تحديث الأمان من Microsoft (KB4550945 أو التحديث التراكمي المناسب) فوراً على جميع الأنظمة المتأثرة.
2. إعطاء الأولوية لتصحيح أنظمة Windows 7 وWindows Server 2008/2012/2016 لأنها تواجه خطر التنفيذ الكامل للتعليمات البرمجية.
ضوابط تعويضية (في حال تأخر التصحيح):
1. تعطيل جزء المعاينة وجزء التفاصيل في Windows Explorer لمنع عرض الخطوط تلقائياً.
2. تعطيل خدمة WebClient لحجب ناقلات الهجوم عبر WebDAV.
3. إعادة تسمية أو تقييد الوصول إلى ملف ATMFD.DLL.
4. حجب حركة مرور SMB الواردة على جدران الحماية الحدودية (المنفذ 445).
5. نشر قوائم السماح بالتطبيقات لمنع تنفيذ ثنائيات معالجة الخطوط غير المصرح بها.
قواعد الكشف:
1. مراقبة العمليات الفرعية غير المعتادة الصادرة عن explorer.exe أو svchost.exe.
2. التنبيه عند وصول عمليات غير نظامية إلى ATMFD.DLL.
3. تفعيل معرف الحدث 4688 ومقارنته مع الوصول إلى ملفات الخطوط.
4. نشر قواعد YARA/Sigma لاستهداف ملفات خطوط Adobe Type 1 PostScript الشاذة.
5. مراقبة اتصالات WebDAV الصادرة من محطات العمل إلى مضيفين خارجيين.