Microsoft advirtió hoy sobre ataques dirigidos que explotan activamente dos vulnerabilidades de día-0 que permite la ejecución remota de código. Estas vulnerabilidades se encuentran en la Biblioteca Adobe Type Manager de Windows y que afectan a todas las versiones compatibles de Windows.
Según el gigante de Redmond: “Microsoft es consciente de los ataques dirigidos limitados que podrían aprovechar las vulnerabilidades en la Biblioteca Adobe Type Manager, que actualmente no tienen parches y proporciona la siguiente guía para ayudar a reducir el riesgo de sus clientes hasta que se lance la actualización de seguridad“.
Las dos fallas de seguridad de ejecución remota de código que existen en Microsoft Windows “cuando la Biblioteca de Adobe Type Manager de Windows maneja incorrectamente una fuente multimaestro especialmente diseñada – formato PostScript Adobe Tipo 1“.
Microsoft ha calificado las vulnerabilidades como críticas y dice que están afectando a las máquinas que ejecutan versiones de escritorio y servidor de Windows, incluidos Windows 10, Windows 8.1, Windows 7 y varias versiones de Windows Server, según se puede leer aquí.
Microsoft dice que actualmente se está desarrollando una solución para las vulnerabilidades y sugiere un lanzamiento futuro que se lanzará durante el Patch Tuesday del próximo mes de abril.
En el aviso de la vulnerabilidad se lee: “Las actualizaciones que abordan las vulnerabilidades de seguridad en el software de Microsoft generalmente se publican el martes de actualización, el segundo martes de cada mes“.
Los usuarios de Windows 7, Windows Server 2008 o Windows Server 2008 R2 deben tener una licencia ESU para recibir futuras actualizaciones de seguridad que solucionen estos problemas.
En los dispositivos con Windows 10 que explotan con éxito las dos vulnerabilidades de día cero, solo conducirán a la ejecución de código con privilegios y capacidades limitados dentro de un contexto de sandbox de AppContainer según el aviso de Microsoft.
Sin embargo, los atacantes aún podrían instalar programas, ver, cambiar o eliminar datos, o incluso crear nuevas cuentas con derechos de usuario completos.
Para explotar los dos problemas de seguridad, los atacantes pueden engañar a las víctimas potenciales para que abran documentos creados con fines malintencionados o para verlos a través del panel de Vista previa de Windows: el Panel de vista previa de Outlook NO es un vector de ataque.
Formas de mitigar el riesgo.
Para reducir los riesgos de ataques que abusen de estas dos vulnerabilidades de días cero, Microsoft recomienda a los clientes que deshabiliten los paneles Vista previa y Detalles en el Explorador de Windows para evitar la visualización automática de las fuentes OTF.
“Si bien esto evita que se vean archivos maliciosos en el Explorador de Windows, no impide que un usuario autenticado local ejecute un programa especialmente diseñado para aprovechar esta vulnerabilidad“, agrega Microsoft.
Deshabilitar el servicio WebClient también puede ayudar a proteger los sistemas vulnerables de los intentos continuos de explotar las fallas “al bloquear el vector de ataque remoto más probable a través del servicio al cliente de Autorización y control de versiones distribuidas (WebDAV)“.
“Después de aplicar esta solución alternativa, aún es posible que los atacantes remotos que exploten con éxito esta vulnerabilidad hagan que el sistema ejecute programas ubicados en la computadora del usuario objetivo o en la Red de área local (LAN), pero se solicitará confirmación a los usuarios antes de abrir programas arbitrarios desde Internet“, agrega Microsoft.
Cambiar el nombre de la biblioteca real (ATMFD.DLL) para evitar que funcionen posibles vulnerabilidades es otra solución alternativa recomendada.
Los procedimientos detallados sobre cómo deshabilitar los paneles de Vista previa/Detalles del Explorador de Windows y el servicio WebClient, así como sobre cómo cambiar el nombre del archivo ATMFD.DLL en sistemas de 32 y 64 bits están disponibles en el aviso de seguridad.