Clicky

Microsoft informa una nueva vulnerabilidad crítica de Windows

vulnerabilidad día cero

Deshabilita el Panel de vista previa y el Panel de detalles en el Explorador de Windows

Microsoft emitió el lunes un nuevo aviso de seguridad que advierte a miles de millones de usuarios de Windows de dos nuevas vulnerabilidades críticas de día cero sin parchear que podrían permitir a los piratas informáticos tomar el control total de las computadoras de forma remota.

Según Microsoft, ambas fallas sin parchear se están utilizando en ataques limitados y dirigidos, e impactan todas las versiones compatibles del sistema operativo Windows, incluidas las ediciones Windows 10, 8.1 y Server 2008, 2012, 2016 y 2019, así como Windows 7 para las cuales Microsoft finalizó su soporte el 14 de enero de 2020.

Ambas vulnerabilidades residen en la Biblioteca de Adobe Type Manager de Windows, un software de análisis de fuentes que no solo analiza el contenido cuando se abre con un software de terceros, sino que también lo utiliza el Explorador de Windows para mostrar el contenido de un archivo en el 'Panel de vista previa' o el 'Panel de detalles' sin que los usuarios lo abran.

Las fallas se producen en Microsoft Windows cuando la biblioteca Adobe Type Manager Library "maneja incorrectamente una fuente multimaestro especialmente diseñada - formato Adobe Type 1 PostScript", permitiendo a los atacantes remotos ejecutar código malicioso arbitrario en sistemas específicos convenciendo a un usuario para que abra un documento especialmente diseñado o lo visualice en el panel de Vista previa de Windows.

"Para los sistemas que ejecutan versiones compatibles de Windows 10, un ataque exitoso solo podría resultar en la ejecución de código dentro de un contexto de caja de arena AppContainer con capacidades y privilegios limitados", dijo Microsoft.

En este momento, aunque no está claro si los defectos también se pueden activar de forma remota a través de un navegador web al convencer a un usuario de que visite una página web que contenga fuentes OTF maliciosas especialmente diseñadas, hay muchas otras formas en que un atacante podría aprovechar la vulnerabilidad, como a través del servicio de cliente de Creación y control de versiones distribuidas web (WebDAV).

No hay parches disponibles todavía. Aplicar soluciones alternativas

Microsoft dijo que está al tanto del problema y está trabajando en un parche, que la compañía lanzará a todos los usuarios de Windows como parte de sus próximas actualizaciones de Patch Tuesday, el 14 de abril.

"La configuración de seguridad mejorada no mitiga esta vulnerabilidad", agregó la compañía.

1) Deshabilita el Panel de vista previa y el Panel de detalles en el Explorador de Windows

Mientras tanto, se recomienda encarecidamente a todos los usuarios de Windows que deshabiliten la función Panel de vista previa y Panel de detalles en el Explorador de Windows como una solución alternativa para reducir el riesgo de ser pirateado por ataques oportunistas.

Para deshabilitar la función Panel de vista previa y Panel de detalles:

• Abre el Explorador de Windows, haz clic en Organizar y luego en Diseño.
• Desactiva las opciones de menú del panel Detalles y del panel Vista previa.
• Haz clic en Organizar y luego en Carpeta y opciones de búsqueda.
• Haz clic en la pestaña Ver.
• En Configuración avanzada, marca la casilla Mostrar siempre iconos, nunca miniaturas.
• Cierra todas las instancias abiertas del Explorador de Windows para que surta efecto el cambio.

Sin embargo, debe tenerse en cuenta que, si bien esta solución evita que se vean archivos maliciosos en el Explorador de Windows, no es estricto que ningún software legítimo de terceros cargue la biblioteca de análisis de fuentes vulnerables.

2) Deshabilitar el servicio WebClient

Además de esto, también se recomienda deshabilitar el servicio WebClient de Windows para evitar ataques cibernéticos a través del servicio de cliente WebDAV.

• Haz clic en Inicio, haz clic en Ejecutar (o presiona en el teclado las teclas de Windows y R), escribe Services.msc y luego haz clic en Aceptar.
• Haz clic con el botón derecho en el servicio WebClient y selecciona Propiedades.
• Cambia el tipo de Inicio a Deshabilitado. Si el servicio se está ejecutando, haz clic en Detener.
• Haz clic en Aceptar y sal de la aplicación de administración.

"Después de aplicar esta solución alternativa, todavía es posible que los atacantes remotos que exploten con éxito esta vulnerabilidad hagan que el sistema ejecute programas ubicados en la computadora del usuario objetivo o en la Red de área local (LAN), pero los usuarios recibirán una confirmación antes de abrir programas arbitrarios de Internet", advirtió Microsoft.

3) Renombrar o deshabilitar ATMFD.DLL

Microsoft también insta a los usuarios a cambiar el nombre del archivo Adobe Type Manager Font Driver (ATMFD.dll) para deshabilitar temporalmente la tecnología de fuente incorporada, lo que podría causar que ciertas aplicaciones de terceros dejen de funcionar.

Ingresa los siguientes comandos en un símbolo del sistema administrativo:

Para sistemas de 32 bits:

cd "%windir%\system32"
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F)
rename atmfd.dll x-atmfd.dll

Para sistemas de 64 bits:

cd "%windir%\system32"
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F)
rename atmfd.dll x-atmfd.dll
cd "%windir%\syswow64"
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F)
rename atmfd.dll x-atmfd.dll

Reinicia el sistema.

Jesus_Caceres