Boletín de Seguridad UNAM-CERT-2020-001 Vulnerabilidad de día cero en Windows

Descripción

Se ha identificado una vulnerabilidad de día cero en el sistema operativo Windows que permite la ejecución remota de código, indica Microsoft en una alerta de seguridad.

La vulnerabilidad se encuentra en la Biblioteca Adobe Type Manager (atmfd.dll), empleada por Microsoft para representar las fuentes PostScript Type 1 dentro de Windows.

Existen dos vulnerabilidades de ejecución remota de código (RCE, por sus siglas en inglés) en esta biblioteca incorporada, que permiten a los atacantes ejecutar código en el sistema de un usuario y realizar acciones con sus privilegios.

Hay varias formas en que un atacante podría aprovechar la vulnerabilidad, como convencer a un usuario para que abra un documento especialmente diseñado o verlo en el panel de Vista Previa del Explorador de Archivos de Windows (Windows Explorer).

En sistemas con una versión de Windows 10 con soporte (1703 o superior), el ataque podría resultar en una ejecución de código dentro de un entorno controlado de AppContainer, con privilegios y capacidades limitados. Sin embargo, esta vulnerabilidad puede ser explotada exitosamente en Windows 7.

La compañía describió los ataques actuales que explotan el día cero como "limitados" y "dirigidos".

Sistemas afectados

• Todas las versiones actualmente compatibles de los sistemas operativos Windows y Windows Server.
• Menor afectación en Windows 10, donde el archivo atmfd.dll no está presente o se ejecuta dentro de un entorno limitado de AppContainer con capacidades y privilegios limitados.
• Windows 7 (con soporte finalizado).

Solución

Las acciones para mitigar incluyen:

• Deshabilitar el Panel de vista previa y el Panel de detalles en el Explorador de Windows
• Deshabilitar el servicio WebClient
• Renombrar ATMFD.DLL
• Deshabilitar el uso de ATMFD en el registro de Windows (para Windows 8.1)

Referencias

• Microsoft Security Advisory