Site icon Sophos News

Vulnerabilidad día cero en Windows que no se parcheará en semanas

Los ciberdelincuentes están explotando dos vulnerabilidades día cero que afectan a todas las versiones de Windows, ha advertido Microsoft.

Las vulnerabilidades de Ejecución de Código Remoto (RCE) afectan a la biblioteca de Adobe Type Manager (ATM), la parte de Windows que gestiona las fuentes PostScript Type 1.

Por ahora, no hay identificadores CVE y los únicos detalles confirmados están en el aviso de Microsoft:

Microsoft es consciente de limitados ataques dirigidos que podrían aprovechar vulnerabilidades sin parches de la biblioteca de Adobe Type Manager y proporciona la siguiente orientación para ayudar a reducir el riesgo hasta que se publique la actualización de seguridad.

Los atacantes podrían explotar el fallo convenciendo a los usuarios a que abran un documento malicioso. Sin embargo, es importante señalar que el mismo peligro se produciría incluso si los usuarios vieran ese documento mediante las funciones de vista previa del administrador de archivos del Explorador de Archivos de Windows.

Esto último es significativo porque, por ahora, no hay ningún parche, que podría no publicarse hasta la próxima actualización de Martes de Parches, prevista para el 14 de abril de 2020:

Microsoft es consciente de esta vulnerabilidad y está trabajando en una solución. Las actualizaciones que abordan las vulnerabilidades de seguridad en el software de Microsoft se publican normalmente el martes de parches, el segundo martes de cada mes.

Hasta entonces, la única contramedida es usar una de las soluciones recomendadas, que implica desactivar el panel de vista previa y de detalles del Explorador.

Esto puede lograrse de la siguiente manera:

  1. Abrir el Explorador de archivos de Windows y hacer clic en la pestaña Vista (Organizar o Diseño en versiones antiguas).
  2. Si el Panel de detalles o el Panel de vista previa está resaltado, haz clic en él para desactivarlo. (Tendrá que hacer clic de nuevo en Vista para comprobar que ambas opciones terminan desactivadas).
  3. Haz clic en Opciones (u Organizar) y, a continuación, haz clic en Cambiar opciones de carpeta y búsqueda.
  4. Haga clic en la pestaña Ver.
  5. En Configuración avanzada, activa la casilla Mostrar siempre iconos, nunca vistas en miniaturas.
  6. Cierra todas las ventanas abiertas del Explorador de Windows para que el cambio surta efecto.

Al deshabilitar el servicio Cliente web también se debería bloquear la ruta de ataque más probable, según Microsoft:

  1. Haz clic en Inicio, y a continuación en Ejecutar (o pulsa la tecla Windows y la R en el teclado), escriba Services.msc y luego haga clic en Aceptar.
  2. Haz clic con el botón derecho del ratón en el servicio Cliente web y selecciona Propiedades.
  3. Cambia el tipo de inicio a Desactivado. Si el servicio se está ejecutando, haz clic en Detener.
  4. Haz clic en Aceptar y sal de la aplicación de administración.

El cambio de nombre de atmfd.dll es otra solución para las versiones de Windows anteriores a Windows 10 1709, con instrucciones sobre cómo hacerlo para las diferentes versiones en el aviso de Microsoft.

Esta solución alternativa podría afectar a las fuentes OpenType que, aunque no forman parte de Windows, son utilizadas por algunas aplicaciones de terceros.

Las versiones afectadas de Windows incluyen versiones de 32 y 64 bits de Windows 10 (1607, 1709, 1803, 1809, 1903, 1909), Windows 8.1, Windows 7 y Windows Server 2008, 2012, 2016 y 2019, incluidas las instalaciones de Server Core.

Es importante para los usuarios de Windows 7 cuyas instalaciones carezcan de un acuerdo de actualizaciones de seguridad extendidas (ESU) ya que no recibirán parches para estas vulnerabilidades (Windows 7 llegó al final de su vida útil el 14 de enero de 2020).

¿Por qué Microsoft está aplicando parches a Adobe Type Manager?

La respuesta corta es porque esta vulnerabilidad no tiene nada que ver con Adobe (a pesar de su nombre, ATM ha sido desde hace mucho tiempo parte del propio Windows, y es mantenido por Microsoft bajo un acuerdo de licencia que presumiblemente requiere que nombre a Adobe).

Esta es la tercera vez en cuestión de semanas que Microsoft se ha enfrentado a tener que parchear una vulnerabilidad día cero después de haber tenido algunos problemas en el calendario de parches.

El martes de parches de febrero corrigió una falla en Internet Explorer (CVE-2020-0674), un día cero que había sido explotado en “ataques limitados” que se remontan a enero.

Y a principios de este mes, Microsoft se apresuró a parchear la vulnerabilidad ‘SMBGhost’ (CVE-2020-0796), cuya noticia se filtró accidentalmente al dominio público.

Exit mobile version