Microsoft emitió hoy un nuevo aviso de seguridad advirtiendo a miles de millones de usuarios de Windows sobre dos nuevas vulnerabilidades críticas de día cero sin parches que podrían permitir a los piratas informáticos tomar el control total de forma remota sobre las computadoras objetivo.

Según Microsoft, ambas fallas sin parchear se utilizan en ataques dirigidos limitados e impactan en todas las versiones compatibles del sistema operativo Windows, incluidas las ediciones Windows 10, 8.1 y Server 2008, 2012, 2016 y 2019, así como Windows 7 para el cual Microsoft finalizó su soporte el 14 de enero de 2020.

Ambas vulnerabilidades residen en Windows Biblioteca de Adobe Type Managerun software de análisis de fuentes que no solo analiza el contenido cuando se abre con un software de terceros, sino que también lo utiliza el Explorador de Windows para mostrar el contenido de un archivo en el «Panel de vista previa» o el «Panel de detalles» sin que los usuarios lo abran.

Las fallas existen en Microsoft Windows cuando la biblioteca de Adobe Type Manager «maneja incorrectamente una fuente multimaestro especialmente diseñada: formato Adobe Type 1 PostScript», lo que permite a los atacantes remotos ejecutar código malicioso arbitrario en sistemas objetivo al convencer a un usuario de que abra un archivo especialmente diseñado. documento creado o verlo en el panel de Vista previa de Windows.

«Para los sistemas que ejecutan versiones compatibles de Windows 10, un ataque exitoso solo podría resultar en la ejecución de código dentro de un contexto de espacio aislado de AppContainer con privilegios y capacidades limitados», dijo Microsoft.

En este momento, aunque no está claro si las fallas también se pueden activar de forma remota a través de un navegador web al convencer a un usuario de visitar una página web que contiene fuentes OTF maliciosas especialmente diseñadas, existen muchas otras formas en que un atacante podría explotar la vulnerabilidad, como a través del servicio de cliente Web Distributed Authoring and Versioning (WebDAV).

Ningún parche aún disponible; Aplicar soluciones alternativas

Microsoft dijo que está al tanto del problema y que está trabajando en un parche, que la compañía lanzará a todos los usuarios de Windows como parte de sus próximas actualizaciones de Patch Tuesday, el 14 de abril.

«La configuración de seguridad mejorada no mitiga esta vulnerabilidad», agregó la compañía.

1) Deshabilite el Panel de vista previa y el Panel de detalles en el Explorador de Windows

Mientras tanto, se recomienda encarecidamente a todos los usuarios de Windows que deshabiliten la función Panel de vista previa y Panel de detalles en el Explorador de Windows como una solución para reducir el riesgo de ser pirateado por ataques oportunistas.

Para deshabilitar la función Panel de vista previa y Panel de detalles:

• Abra el Explorador de Windows, haga clic en Organizar y luego haga clic en Diseño.
• Borre las opciones de menú del panel de detalles y del panel de vista previa.
• Haga clic en Organizar y luego en Opciones de carpeta y búsqueda.
• Haga clic en la pestaña Ver.
• En Configuración avanzada, marque la casilla Mostrar siempre iconos, nunca miniaturas.
• Cierre todas las instancias abiertas del Explorador de Windows para que el cambio surta efecto.

Sin embargo, debe tenerse en cuenta que, si bien esta solución evita que los archivos maliciosos se vean en el Explorador de Windows, no impide que ningún software legítimo de terceros cargue la biblioteca de análisis de fuentes vulnerables.

2) Deshabilitar el servicio WebClient

Además de esto, también se recomienda deshabilitar el servicio Windows WebClient para evitar ataques cibernéticos a través del servicio de cliente WebDAV.

• Haga clic en Inicio, haga clic en Ejecutar (o presione la tecla de Windows y R en el teclado), escriba Services.msc y luego haga clic en Aceptar.
• Haga clic con el botón derecho en el servicio WebClient y seleccione Propiedades.
• Cambie el Tipo de inicio a Deshabilitado. Si el servicio se está ejecutando, haga clic en Detener.
• Haga clic en Aceptar y salga de la aplicación de gestión.

«Después de aplicar esta solución alternativa, aún es posible que los atacantes remotos que exploten con éxito esta vulnerabilidad hagan que el sistema ejecute programas ubicados en la computadora del usuario objetivo o en la red de área local (LAN), pero se les pedirá a los usuarios que confirmen antes de abrir archivos arbitrarios». programas de Internet”, advirtió Microsoft.

3) Cambiar el nombre o deshabilitar ATMFD.DLL

Microsoft también insta a los usuarios a cambiar el nombre del archivo Adobe Type Manager Font Driver (ATMFD.dll) para deshabilitar temporalmente la tecnología de fuentes incrustadas, lo que podría causar que ciertas aplicaciones de terceros dejen de funcionar.

Ingrese los siguientes comandos en un símbolo del sistema administrativo:

Para sistema de 32 bits:
cd «%windir%system32»
takeown.exe / f atmfd.dll
icacls.exe atmfd.dll / guardar atmfd.dll.acl
icacls.exe atmfd.dll / otorgar Administradores: (F)
renombrar atmfd.dll x-atmfd.dll

Para el sistema de 64 bits:
cd «%windir%system32»
takeown.exe / f atmfd.dll
icacls.exe atmfd.dll / guardar atmfd.dll.acl
icacls.exe atmfd.dll / otorgar Administradores: (F)
renombrar atmfd.dll x-atmfd.dll
cd «%windir%syswow64»
takeown.exe / f atmfd.dll
icacls.exe atmfd.dll / guardar atmfd.dll.acl
icacls.exe atmfd.dll / otorgar Administradores: (F)
renombrar atmfd.dll x-atmfd.dll

Reinicie el sistema.