Según Microsoft , ambas fallas sin parches se están utilizando en ataques limitados y dirigidos e impactan todas las versiones compatibles del sistema operativo Windows, incluidas las ediciones Windows 10, 8.1 y Server 2008, 2012, 2016 y 2019, así como Windows 7 para las cuales Microsoft finalizó su soporte el 14 de enero de 2020.

Ambas vulnerabilidades residen en la Biblioteca Adobe Type Manager de Windows, un software de análisis de fuentes que no solo analiza el contenido cuando se abre con un software de terceros, sino que también lo utiliza el Explorador de Windows para mostrar el contenido de un archivo en el ‘Panel de vista previa’ o el ‘Panel de detalles’ sin que los usuarios lo abran.

Las fallas existen en Microsoft Windows cuando la biblioteca Adobe Type Manager Library «maneja incorrectamente una fuente multimaestro especialmente diseñada – formato Adobe Type 1 PostScript», lo que permite a los atacantes remotos ejecutar código malicioso arbitrario en sistemas específicos al convencer a un usuario de abrir documento elaborado o viéndolo en el panel Vista previa de Windows.

«Para los sistemas que ejecutan versiones compatibles de Windows 10, un ataque exitoso solo podría resultar en la ejecución de código dentro de un contexto de caja de arena AppContainer con capacidades y privilegios limitados», dijo Microsoft.
En este momento, aunque no está claro si los defectos también se pueden activar de forma remota a través de un navegador web al convencer a un usuario de que visite una página web que contenga fuentes OTF maliciosas especialmente diseñadas, hay muchas otras formas en que un atacante podría explotar la vulnerabilidad, por ejemplo, a través del servicio de cliente de creación y control de versiones distribuidas web (WebDAV).

No hay parches disponibles todavía; Aplicar soluciones alternativas

Microsoft dijo que está al tanto del problema y está trabajando en un parche, que la compañía lanzará a todos los usuarios de Windows como parte de sus próximas actualizaciones de Patch Tuesday, el 14 de abril.

«La configuración de seguridad mejorada no mitiga esta vulnerabilidad», agregó la compañía.

1) Deshabilite el Panel de vista previa y el Panel de detalles en el Explorador de Windows

Mientras tanto, se recomienda encarecidamente a todos los usuarios de Windows que deshabiliten la función Panel de vista previa y Panel de detalles en el Explorador de Windows como una solución alternativa para reducir el riesgo de ser pirateado por ataques oportunistas.

Para deshabilitar la función Panel de vista previa y Panel de detalles:

  • Abra el Explorador de Windows, haga clic en Organizar y luego en Diseño.
  • Desactive las opciones de menú del panel Detalles y del panel Vista previa.
  • Haga clic en Organizar y luego en Carpeta y opciones de búsqueda.
  • Haga clic en la pestaña Ver.
  • En Configuración avanzada, marque la casilla Mostrar siempre iconos, nunca miniaturas.
  • Cierre todas las instancias abiertas del Explorador de Windows para que el cambio surta efecto.

Sin embargo, debe tenerse en cuenta que, si bien esta solución evita que se vean archivos maliciosos en el Explorador de Windows, no es estricto que ningún software legítimo de terceros cargue la biblioteca de análisis de fuentes vulnerables.

2) Deshabilitar el servicio WebClient

Además de esto, también se recomienda deshabilitar el servicio WebClient de Windows para evitar ataques cibernéticos a través del servicio de cliente WebDAV.

  • Haga clic en Inicio, haga clic en Ejecutar (o presione la tecla de Windows y R en el teclado), escriba Services.msc y luego haga clic en Aceptar.
  • Haga clic con el botón derecho en el servicio WebClient y seleccione Propiedades.
  • Cambie el tipo de Inicio a Deshabilitado. Si el servicio se está ejecutando, haga clic en Detener.
  • Haga clic en Aceptar y salga de la aplicación de administración.

«Después de aplicar esta solución alternativa, aún es posible que los atacantes remotos que exploten con éxito esta vulnerabilidad hagan que el sistema ejecute programas ubicados en la computadora del usuario objetivo o en la Red de área local (LAN), pero se solicitará a los usuarios que confirmen antes de abrir arbitrariamente programas de Internet «, advirtió Microsoft.

3) Renombrar o deshabilitar ATMFD.DLL

Microsoft también insta a los usuarios a cambiar el nombre del archivo Adobe Type Manager Font Driver (ATMFD.dll) para deshabilitar temporalmente la tecnología de fuente incorporada, lo que podría causar que ciertas aplicaciones de terceros dejen de funcionar.

Ingrese los siguientes comandos en un símbolo del sistema administrativo:

Para el sistema de 32 bits:
cd «% windir% \ system32
«takeown.exe / f atmfd.dll
icacls.exe atmfd.dll / guardar atmfd.dll.acl
icacls.exe atmfd.dll / Grant Administradores: (F)
renombrar atmfd .dll x-atmfd.dll

Para el sistema de 64 bits:
cd «% windir% \ system32»
takeown.exe / f atmfd.dll
icacls.exe atmfd.dll / guardar atmfd.dll.acl
icacls.exe atmfd.dll / Grant Administradores: (F)
renombrar atmfd .dll x-atmfd.dll
cd «% windir% \ syswow64
«takeown.exe / f atmfd.dll
icacls.exe atmfd.dll / guardar atmfd.dll.acl
icacls.exe atmfd.dll / conceder Administradores: (F)
renombrar atmfd.dll x-atmfd.dll

Reinicia el sistema.

Fuente: thehackernews.com

Compartir