上周一，微软发布了一份安全公告，详细介绍了针对Windows 7设备的新的字体解析远程代码执行漏洞。

该漏洞位于Adobe Type Manager库中，该库是一个DLL文件（ATMFD.DLL），用于管理和呈现Adobe Systems的字体。恶意攻击者可以通过简单地使受害者打开特制文档或让他们在Windows预览窗格中查看文档来在系统上运行任意代码。

没有补丁，永久零日

尽管该漏洞已被黑客广泛使用，但Microsoft尚未发布官方修复程序。事实是，Windows 7已于今年1月14 日到期，并且没有扩展安全更新（ESU）许可协议的用户无法使用该操作系统的任何新更新（包括安全修补程序）。这意味着无法打补丁修复此漏洞，这种情况通常被称为“永久零日”。攻击者可以利用此漏洞反复劫持易受攻击的设备。

没有修复程序，Microsoft建议采用几种解决方法：

1. 禁用预览窗格 – 阻止在预览时运行恶意代码，但是如果打开了已绑定的文档，仍然会造成危害。

2. 禁用WebClient服务 – 但是，如果受害者打开了文档，这也允许进行漏洞利用。

3. 手动或使用托管部署脚本禁用DisableATMFD注册表项 – 可以缓解Windows 10之前版本计算机的问题，但在特定情况下可能会引发可用性问题。

4. 重命名ATMFD.DLL - 这也适用于Windows 10之前的计算机，但在特定情况下可能会引起使用性问题。

如何防御此零日威胁

Bitdefender GravityZone网络安全解决方案可以帮助您从多个层面缓解此问题，最大程度地降低安全风险。鉴于大多数此类攻击都是通过垃圾邮件发送的，Bitdefender可以在邮件传输代理处，在预执行阶段，Sandbox等对其进行分析，拦截此类恶意威胁。

Bitdefender GravityZone还可以通过其强大的行为分析组件（例如高级威胁防护，高级反漏洞利用，网络攻击防护和Hypervisor Introspection）来阻断漏洞利用和零日漏洞。

最后，端点风险分析，扫描入侵指标之类的强化技术可以帮助您识别风险指标并修补这些漏洞，从而有助于防止此类攻击并进一步减少端点攻击面。

[培训]科锐逆向工程师培训第53期2025年7月8日开班！