Los atacantes están explotando activamente una vulnerabilidad de día cero de Windows que puede ejecutar código malicioso en sistemas completamente actualizados, advirtió Microsoft el lunes.
La vulnerabilidad de ejecución remota de código de análisis de fuentes se está utilizando en «ataques dirigidos limitados» contra los sistemas Windows 7, dijo el fabricante de software en un aviso publicado el lunes por la mañana. La falla de seguridad existe en Adobe Type Manager Library, un archivo DLL de Windows que utiliza una amplia variedad de aplicaciones para administrar y representar las fuentes disponibles en Adobe Systems. La vulnerabilidad consiste en dos fallas de ejecución de código que pueden desencadenarse por el manejo inadecuado de fuentes maestras creadas con fines maliciosos en el formato Adobe Type 1 Postscript. Los atacantes pueden explotarlos convenciendo a un objetivo para que abra un documento con una trampa explosiva o viéndolo en el panel de vista previa de Windows.
“Microsoft está al tanto de ataques dirigidos limitados que intentan aprovechar esta vulnerabilidad”, advirtió el aviso del lunes. En otro lugar, el aviso decía: «Para los sistemas que ejecutan versiones compatibles de Windows 10, un ataque exitoso solo podría resultar en la ejecución de código dentro de un contexto de espacio aislado de AppContainer con privilegios y capacidades limitados».
Microsoft no dijo si los exploits ejecutan con éxito cargas maliciosas o simplemente lo intentan. Con frecuencia, las defensas de seguridad integradas en Windows evitan que las vulnerabilidades funcionen según lo previsto por los piratas informáticos. El aviso tampoco hizo referencia al volumen o las ubicaciones geográficas de los exploits. Aún no hay una solución disponible, y el aviso del lunes no proporcionó ninguna indicación de cuándo se enviaría.
¿Qué hacer ahora?
Hasta que haya un parche disponible, Microsoft sugiere que los usuarios de sistemas que no sean Windows 10 usen una o más de las siguientes soluciones:
- Deshabilitar el panel de vista previa y el panel de detalles en el Explorador de Windows
- Deshabilitar el servicio WebClient
- Cambie el nombre de ATMFD.DLL (en sistemas Windows 10 que tienen un archivo con ese nombre) o, alternativamente, deshabilite el archivo del registro
La primera medida evitará que el Explorador de Windows, una herramienta que proporciona una interfaz gráfica de usuario para mostrar y administrar los recursos de Windows, muestre automáticamente fuentes de tipo abierto. Si bien esta solución provisional evitará algunos tipos de ataques, no impedirá que un usuario autenticado local ejecute un programa especialmente diseñado para aprovechar la vulnerabilidad.
La segunda solución, deshabilitar el servicio WebClient, bloquea el vector que los atacantes probablemente usarían para realizar exploits remotos. Incluso con esta medida implementada, aún es posible que los atacantes remotos ejecuten programas ubicados en la computadora o red local del usuario objetivo. Aún así, la solución hará que se solicite confirmación a los usuarios antes de abrir programas arbitrarios de Internet.
Microsoft dijo que deshabilitar WebClient evitará que se transmita la creación y el control de versiones distribuidos en la Web. También detiene el inicio de cualquier servicio que dependa explícitamente del WebClient y registra mensajes de error en el registro del sistema.
Cambiar el nombre de ATMFD.DLL, el último recurso provisional recomendado, causará problemas de visualización para las aplicaciones que dependen de fuentes incrustadas y podría hacer que algunas aplicaciones dejen de funcionar si usan fuentes OpenType. Microsoft también advirtió que los errores al realizar cambios en el registro de Windows, como se requiere en una variación de la tercera solución, pueden causar problemas graves que pueden requerir la reinstalación completa de Windows. El archivo DLL ya no está presente en Windows 10 versión 1709 y superior.
El aviso del lunes proporciona instrucciones detalladas para activar y desactivar las tres soluciones alternativas. La configuración de seguridad mejorada, que está activada de forma predeterminada en los servidores de Windows, no mitiga la vulnerabilidad, agregó el aviso.
Dirigido… por ahora
La frase “ataques dirigidos limitados” suele ser una forma abreviada de exploits llevados a cabo por piratas informáticos que llevan a cabo operaciones de espionaje en nombre de los gobiernos. Estos tipos de ataques generalmente se limitan a una pequeña cantidad de objetivos (en algunos casos, menos de una docena) que trabajan en un entorno específico que es de interés para el gobierno que patrocina a los piratas informáticos.
Si bien es posible que los usuarios de Windows en general no sean el objetivo inicial, las nuevas campañas a veces abarcan un número cada vez mayor de objetivos una vez que se generaliza el conocimiento de las vulnerabilidades subyacentes. Como mínimo, todos los usuarios de Windows deben monitorear este aviso, estar atentos a solicitudes sospechosas para ver documentos que no son de confianza e instalar un parche una vez que esté disponible. Los usuarios de Windows también pueden querer seguir una o más de las soluciones alternativas, pero solo después de considerar los riesgos y beneficios potenciales de hacerlo.
