Dos nuevas vulnerabilidades sin parches afectan a todas las versiones de Windows
Microsoft emitió hoy un nuevo aviso de seguridad. Este advierte a miles de millones de usuarios de Windows de dos nuevas vulnerabilidades críticas de zero-day sin parches. Dichas vulnerabilidades podrían permitir a los ciberdelincuentes tomar el control total de las computadoras de forma remota.
Según Microsoft, ambas fallas sin parches se están utilizando en ataques limitados y dirigidos. Estas impactan todas las versiones compatibles del sistema operativo Windows, incluidas las ediciones Windows 10, 8.1 y Server 2008, 2012, 2016 y 2019. Asimismo, Windows 7 para las cuales Microsoft finalizó su soporte el 14 de enero de 2020.
Ambas vulnerabilidades residen en la Biblioteca Adobe Type Manager de Windows. Este es un software de análisis de fuentes que no solo analiza el contenido cuando se abre con un software de terceros, sino que también lo utiliza el Explorador de Windows. Se usa para mostrar el contenido de un archivo en el ‘Panel de vista previa’ o ‘Panel de detalles’ sin que los usuarios lo abran.
Las fallas existen en Microsoft Windows cuando la biblioteca Adobe Type Manager Library “maneja incorrectamente una fuente-multimaestro especialmente diseñada – formato Adobe Type 1 PostScript”. Esto permite a los atacantes remotos ejecutar código malicioso arbitrario en sistemas específicos. Pueden convencer a un usuario de abrir documento diseñado o viéndolo en el panel Vista previa de Windows.
“Para los sistemas que ejecutan versiones compatibles de Windows 10 no son peligrosas. Un ataque exitoso solo podría resultar en la ejecución de código dentro de un contexto de una sandbox AppContainer con capacidades y privilegios limitados”. Esto según lo expresado por Microsoft.
En este momento, no está claro si las vulnerabilidades también se pueden activar de forma remota a través de un navegador web. Esto se lograría al convencer a un usuario de que visite una página web que contenga fuentes OTF maliciosas especialmente diseñadas. Hay muchas otras formas en que un atacante podría aprovechar la vulnerabilidad. Por ejemplo, a través del servicio de cliente de creación y control de versiones distribuidas web (WebDAV).
No hay parches disponibles todavía
Microsoft dijo que está al tanto del problema y está trabajando en un parche. La compañía lanzará el parche a todos los usuarios de Windows como parte de sus próximas actualizaciones de Patch Tuesday, el 14 de abril.
“La configuración de seguridad mejorada no mitiga esta vulnerabilidad”, agregó la compañía.
Soluciones alternativas
1) Deshabilitar el Panel de vista previa y el Panel de detalles en el Explorador de Windows
Mientras tanto, recomendamos encarecidamente a todos los usuarios de Windows que deshabiliten la función Panel de vista previa. También el Panel de detalles en el Explorador de Windows como una solución alternativa para reducir el riesgo de ser hackeado por ataques oportunistas.
Para deshabilitar la función Panel de vista previa y Panel de detalles:
- Debes abrir el Explorador de Windows, haz clic en Organizar y luego en Diseño.
- Debes desactivar las opciones de menú del panel Detalles y del panel Vista previa.
- Haz clic en Organizar y luego en Carpeta y opciones de búsqueda.
- Haz clic en la pestaña Ver.
- En configuración avanzada, marca la casilla Mostrar siempre iconos, nunca miniaturas.
- Debes cerrar todas las instancias abiertas del Explorador de Windows para que el cambio surta efecto.
Debes tener en cuenta que, si bien esta solución evita que se vean archivos maliciosos en el Explorador de Windows, no es estricto que ningún software legítimo de terceros cargue la biblioteca de análisis de fuentes vulnerables.
2) Deshabilitar el servicio WebClient (Cliente Web)
Además de esto, también se recomienda deshabilitar el servicio WebClient de Windows para evitar ataques cibernéticos a través del servicio de cliente WebDAV.
- Haz clic en Inicio. Luego haz clic en Ejecutar (o presiona la tecla de Windows y R en el teclado), escribe Services.msc y luego haz clic en Aceptar.
- Debes hacer clic con el botón derecho en el servicio WebClient (cliente web) y seleccionar Propiedades.
- Cambiar el tipo de Inicio a Deshabilitado. Si el servicio se está ejecutando, haz clic en Detener.
- Haz clic en Aceptar y debes salir de la aplicación de administración.
“Después de aplicar esta solución alternativa, aún es posible que los atacantes remotos que exploten con éxito esta vulnerabilidad. Pueden hacer que el sistema ejecute programas ubicados en la computadora del usuario objetivo o en la Red de área local (LAN). Empero, se solicitará a los usuarios que confirmen antes de abrir arbitrariamente programas de Internet “, advirtió Microsoft.
3) Renombrar o deshabilitar ATMFD.DLL
Microsoft también insta a los usuarios a cambiar el nombre del archivo Adobe Type Manager Font Driver (ATMFD.dll). Esto para deshabilitar temporalmente la tecnología de fuente incorporada, lo que podría causar que ciertas aplicaciones de terceros dejen de funcionar.
Debes ingresa los siguientes comandos en un símbolo del sistema administrativo:
Para un sistema de 32 bits:
cd "%windir%\system32" takeown.exe /f atmfd.dll icacls.exe atmfd.dll /save atmfd.dll.acl icacls.exe atmfd.dll /grant Administrators:(F) rename atmfd.dll x-atmfd.dll
Para un sistema de 64 bits:
cd "%windir%\system32" takeown.exe /f atmfd.dll icacls.exe atmfd.dll /save atmfd.dll.acl icacls.exe atmfd.dll /grant Administrators:(F) rename atmfd.dll x-atmfd.dll cd "%windir%\syswow64" takeown.exe /f atmfd.dll icacls.exe atmfd.dll /save atmfd.dll.acl icacls.exe atmfd.dll /grant Administrators:(F) rename atmfd.dll x-atmfd.dll
Finalmente debes reiniciar el sistema