Saltar al contenido
ᐅ HielosMendez – Información digital que te dejara helado 🧊🥶

El ataque de día cero de Windows permite a los piratas informáticos ocultar código malicioso en las fuentes

Hay un nuevo exploit de Windows apareciendo en Internet, pero eso es solo otro día para un sistema operativo de escritorio casi omnipresente. Sin embargo, esta vulnerabilidad en particular es grave por varias razones, una de las cuales es un error de «día cero» que Microsoft no conocía hasta que los atacantes comenzaron a usarla para infiltrarse en los sistemas. Incluso ahora, hay sin parche para la vulnerabilidad, pero Microsoft ha publicado algunos consejos para ayudarlo a mantenerse seguro mientras trabaja en eso.

La vulnerabilidad existe en Adobe Type Manager Library, un archivo DLL de Windows que numerosos programas utilizan para renderizar fuentes. Este archivo está presente en todas las versiones modernas de Windows, incluidas Windows 7, 8.1, 10 y varias ediciones de servidor. Hay dos fallas de ejecución de código remoto en este archivo, lo que permite a un atacante crear fuentes maliciosas en el formato PostScript de Adobe Type 1. Abrir un documento con trampas explosivas con tal fuente ejecutará la carga útil del malware.

Tradicionalmente, las fallas de ejecución de código remoto se consideran el tipo de ataque más severo. Puede hacer casi cualquier cosa en un sistema si puede ejecutar código arbitrario, desde instalar ransomware hasta monitorear secretamente las actividades del usuario. Microsoft admite que ha detectado varios documentos maliciosos que intentan utilizar esta vulnerabilidad, pero no dice si han implementado con éxito cargas útiles peligrosas. Las funciones de seguridad integradas de Windows a veces pueden impedir que las vulnerabilidades funcionen según lo previsto. Es probable que Microsoft esté optando por mantener sus declaraciones vagas hasta que pueda desarrollar un parche.

Hasta que haya un parche, la sabiduría ancestral de tener cuidado con lo que descarga aún se mantiene. No debe descargar ningún documento de una fuente que no sea de confianza, y Microsoft dice que también hay otras medidas que debe tomar. Por ejemplo, debería considerar desactivar el panel de vista previa en el Explorador de Windows. Esa característica activa el código de fuente malicioso en un archivo. También puede desactivar el servicio WebClient o simplemente cambiar el nombre del archivo defectuoso (ATMFD.DLL). Desactivar ese archivo hará que los archivos se procesen con fuentes del sistema integradas, lo que puede romper el formato en algunos documentos.

Microsoft dice que la vulnerabilidad solo ha aparecido en «ataques dirigidos limitados», un término que generalmente significa campañas patrocinadas por el gobierno contra unas pocas personas. Probablemente no encontrará ninguno de estos ataques, pero es solo cuestión de tiempo hasta que más piratas informáticos obtengan los productos. Esté atento a un parche de Windows en un futuro próximo.