S'ha publicat el Patch Emergency per a la vulnerabilitat de Windows MS15-078 (KB3079904)
- Categoria: Windows
Ahir Microsoft va expulsar un pegat d’emergència mitjançant actualitzacions automàtiques a totes les versions compatibles del seu sistema operatiu Windows, que remet un problema crític que podria permetre l’execució de codi remota quan s’explota amb èxit.
Concretament, la vulnerabilitat explota un problema a la Biblioteca del gestor de tipus Adobe Adobe quan es carreguen documents especialment dissenyats amb tipus de lletra OpenType al sistema.
Això pot passar quan els usuaris obrin documents maliciosos al sistema directament o quan visiten llocs web que utilitzen tipus de lletra OpenType incrustats. Atès que l'ATM pot ser utilitzat per altres programes, a més d'Internet Explorer, pot afectar sistemes on s'utilitzin altres navegadors web per navegar per Internet o obrir documents.
Quan s’exploten amb èxit, els atacants poden prendre el control del sistema mitjançant la instal·lació o eliminació de programes, modificar comptes d’usuari o suprimir dades.
És interessant tenir en compte que el pegat reemplaça MS15-077 (KB3077657) que Microsoft va publicar el 14 de juliol de 2015, el qual va remetre una elevada vulnerabilitat de privilegis al controlador de tipus Adobe Type Manager.
La vulnerabilitat afecta totes les versions de Windows, incloses les versions Windows XP i Windows 2003 no compatibles. Si bé Windows XP no va rebre cap dels dos pegats, Windows 2003 va rebre el primer dels dos, però no el segon a causa del suport EOL.
Els administradors i usuaris de Microsoft Windows XP i Windows 2003 poden trobar les instruccions de solució manual útils al lloc web oficial del butlletí que poden utilitzar per protegir sistemes de les explotacions. La companyia suggereix canviar el nom del fitxer atmfd.dll en sistemes pre-Windows 8 i desactivar Adobe Type Manager en sistemes Windows 8 o posteriors.
Canvia el nom de atmfd.dll en sistemes de 32 bits
cd '% windir% system32'
takeown.exe / f atmfd.dll
icacls.exe atmfd.dll / guarda atmfd.dll.acl
icacls.exe atmfd.dll / grant Administradors: (F)
canvia el nom de atmfd.dll x-atmfd.dll
Canvia el nom de atmfd.dll en sistemes de 64 bits
cd '% windir% system32'
takeown.exe / f atmfd.dll
icacls.exe atmfd.dll / guarda atmfd.dll.acl
icacls.exe atmfd.dll / grant Administradors: (F)
canvia el nom de atmfd.dll x-atmfd.dll
cd '% windir% syswow64'
takeown.exe / f atmfd.dll
icacls.exe atmfd.dll / guarda atmfd.dll.acl
icacls.exe atmfd.dll / grant Administradors: (F)
canvia el nom de atmfd.dll x-atmfd.dll
Desactivació de l’atmfd a Windows 8 o posterior
- Toqueu la tecla Windows, escriviu regedit i feu clic a Enter.
- Vés a la clau: HKLM Software Microsoft Windows NT CurrentVersion Windows DisableATMFD
- Si DisableATMFD no existeix, feu clic amb el botó dret a Windows i seleccioneu Valor nou> Paraula clau (32 bits).
- Estableix el seu valor a 1.
El pegat que Microsoft ha expulsat avui fa que es parli de la vulnerabilitat en tots els sistemes compatibles. Es pot instal·lar mitjançant actualitzacions automàtiques als sistemes Home del sistema operatiu, o bé es pot descarregar a través del Centre de baixades de Microsoft. Els enllaços de descàrrega de cada sistema operatiu afectat es proporcionen a la secció 'programari afectat' del document MS15-078 pàgina de suport
Microsoft afirma que la vulnerabilitat és pública però que actualment no és conscient dels atacs que en facin ús. El caràcter d'alliberament d'emergència del pegat indica una alta probabilitat que l'explotació de la qüestió en un futur pròxim.
L'explotació es va descobrir després dels pirates informàtics filtrades arxius interns de l’empresa italiana Hacking Team.