Phenquestions
Microsoft lanzó ayer un parche de emergencia a través de actualizaciones automáticas a todas las versiones compatibles de su sistema operativo Windows que corrige un problema crítico que podría permitir la ejecución remota de código cuando se explota con éxito.
Específicamente, la vulnerabilidad aprovecha un problema en la biblioteca de Windows Adobe Type Manager cuando se cargan en el sistema documentos especialmente diseñados con fuentes OpenType.
Esto puede suceder cuando los usuarios abren documentos maliciosos en el sistema directamente o cuando visitan sitios web que utilizan fuentes OpenType incrustadas. Dado que ATM puede ser utilizado por otros programas además de Internet Explorer, puede afectar a los sistemas en los que se utilizan otros navegadores web para navegar por Internet o abrir documentos.
Cuando se explota con éxito, los atacantes pueden tomar el control del sistema instalando o eliminando programas, modificando cuentas de usuario o eliminando datos.
Es interesante notar que el parche reemplaza a MS15-077 (KB3077657) que Microsoft lanzó el 14 de julio de 2015, que corrigió una vulnerabilidad de elevación de privilegios en el controlador de fuentes de Adobe Type Manager.
La vulnerabilidad afecta a todas las versiones de Windows, incluidas las versiones no compatibles de Windows XP y Windows 2003. Si bien Windows XP no recibió ninguno de los dos parches, Windows 2003 recibió el primero de los dos, pero no el segundo debido a la EOL del soporte.
Los administradores y usuarios de Microsoft Windows XP y Windows 2003 pueden encontrar útiles las instrucciones de solución manual en el sitio web oficial del boletín, que pueden utilizar para proteger los sistemas contra vulnerabilidades. La compañía sugiere cambiar el nombre del archivo atmfd.dll en sistemas anteriores a Windows 8 y para deshabilitar Adobe Type Manager en Windows 8 o sistemas posteriores.
Cambiar nombre de atmfd.dll en sistemas de 32 bits
cd "% windir% \ system32"
despojo.exe / f atmfd.dll
icacls.exe atmfd.dll / guardar atmfd.dll.acl
icacls.exe atmfd.Administradores de dll / grant: (F)
cambiar el nombre de atmfd.dll x-atmfd.dll
Cambiar nombre de atmfd.dll en sistemas de 64 bits
cd "% windir% \ system32"
despojo.exe / f atmfd.dll
icacls.exe atmfd.dll / guardar atmfd.dll.acl
icacls.exe atmfd.Administradores de dll / grant: (F)
cambiar el nombre de atmfd.dll x-atmfd.dll
cd "% windir% \ syswow64"
despojo.exe / f atmfd.dll
icacls.exe atmfd.dll / guardar atmfd.dll.acl
icacls.exe atmfd.Administradores de dll / grant: (F)
cambiar el nombre de atmfd.dll x-atmfd.dll
Deshabilitar atmfd en Windows 8 o posterior
- Toque la tecla de Windows, escriba regedit y presione enter.
- Navegue hasta la clave: HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows \ DisableATMFD
- Si DisableATMFD no existe, haga clic con el botón derecho en Windows y seleccione Nuevo> Valor Dword (32 bits).
- Establezca su valor en 1.
El parche que Microsoft lanzó hoy corrige la vulnerabilidad en todos los sistemas compatibles. Puede instalarse mediante actualizaciones automáticas en los sistemas domésticos del sistema operativo o descargarse a través del Centro de descargas de Microsoft. Los enlaces de descarga para cada sistema operativo afectado se proporcionan en "software afectado" en la página de soporte MS15-078.
Microsoft afirma que la vulnerabilidad es pública pero que no tiene conocimiento de ataques que la estén utilizando actualmente. La naturaleza de lanzamiento de emergencia del parche indica una alta probabilidad de que el problema se explote en un futuro próximo.
El exploit fue descubierto después de que los piratas informáticos filtraran archivos internos de la empresa italiana Hacking Team.
