Microsoft lanzó ayer un parche de emergencia a través de actualizaciones automáticas a todas las versiones compatibles de su sistema operativo Windows que parchea un problema crítico que podría permitir la ejecución remota de código cuando se explota con éxito.
Específicamente, la vulnerabilidad explota un problema en la biblioteca de Adobe Type Manager de Windows cuando se cargan en el sistema documentos especialmente creados con fuentes OpenType.
Esto puede ocurrir cuando los usuarios abren documentos maliciosos en el sistema directamente o cuando visitan sitios web que utilizan fuentes OpenType incrustadas. Dado que ATM puede ser utilizado por otros programas además de Internet Explorer, puede afectar a sistemas en los que se utilizan otros navegadores web para navegar por Internet o abrir documentos.
Cuando se explotan con éxito, los atacantes pueden tomar el control del sistema instalando o eliminando programas, modificando cuentas de usuario o eliminando datos.
Es interesante notar que el parche reemplaza al MS15-077 (KB3077657) que Microsoft publicó el 14 de julio de 2015 y que parcheaba una elevación de la vulnerabilidad de privilegios en el controlador de fuentes de Adobe Type Manager.
La vulnerabilidad afecta a todas las versiones de Windows, incluidas las versiones no compatibles de Windows XP y Windows 2003. Mientras que Windows XP no recibió ninguno de los dos parches, Windows 2003 recibió el primero de los dos pero no el segundo debido a la finalización del soporte.
Los administradores y usuarios de Microsoft Windows XP y Windows 2003 pueden encontrar útiles las instrucciones de solución manual en el sitio web del boletín oficial que pueden utilizar para proteger los sistemas de los ataques. La compañía sugiere renombrar el archivo atmfd.dll en sistemas anteriores a Windows 8, y desactivar el Administrador de tipos de Adobe en sistemas Windows 8 o posteriores.
Renombrar atmfd.dll en sistemas de 32 bits
cd “%windir%system32”
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administradores:(F)
renombrar atmfd.dll x-atmfd.dll
Renombrar atmfd.dll en sistemas de 64 bits
cd “%windir%system32”
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administradores:(F)
renombrar atmfd.dll x-atmfd.dll
cd “%windir%syswow64”
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administradores:(F)
renombrar atmfd.dll x-atmfd.dll
Desactivación de atmfd en Windows 8 o posterior
- Pulse sobre la tecla Windows, escriba regedit y pulse enter.
- Navegar a la tecla: HKLMSoftwareMicrosoftWindows NTNVersionWindowsDisableATMFD
- Si DisableATMFD no existe, haga clic con el botón derecho en Windows y seleccione New> Dword (32-bit) Value.
- Ajuste su valor a 1.
El parche que Microsoft introdujo hoy corrige la vulnerabilidad de todos los sistemas soportados. Puede instalarse mediante actualizaciones automáticas en los sistemas Home del sistema operativo o descargarse a través del Centro de descargas de Microsoft. Los enlaces de descarga para cada sistema operativo afectado se encuentran bajo “software afectado” en la página de soporte del MS15-078.
Microsoft afirma que la vulnerabilidad es pública pero que no tiene conocimiento de ataques que la utilicen actualmente. La naturaleza de la liberación de emergencia del parche indica una alta probabilidad de que el problema sea explotado en un futuro próximo.
La hazaña fue descubierta después de que los hackers filtraran los archivos internos de la empresa italiana Hacking Team.
Resumen