Microsoft ha informado de ataques dirigidos limitados que podrían aprovecharse de vulnerabilidades en la Biblioteca Adobe Type Manager que aún no se han parcheado. Existen dos vulnerabilidades de Ejecución Remota de Código (RCE) en Microsoft Windows cuando la biblioteca de Adobe Type Manager de Windows maneja incorrectamente una fuente especialmente diseñada en formato Adobe Type 1 PostScript.
Hay varias formas en que un atacante podría aprovechar la vulnerabilidad, como convencer a un usuario para que abra un documento especialmente diseñado o verlo en el panel Vista previa de Windows.
Microsoft es consciente de esta vulnerabilidad y está trabajando en una solución. Las versiones del sistema operativo que se ven afectadas por esta vulnerabilidad son Windows 8.1, Windows 10, Windows Server 2008/2012/2016/2019.
Se trata de dos problemas de ejecución de código en la librería Adobe Type Manager Library, que no maneja bien fuentes Adobe Type 1 y esto permite a un atacante ejecutar código con permisos de kernel si la víctima abre un archivo o en la previsualización de fuentes de Windows. El fallo se ha descubierto mientras era aprovechado en algunos ataques.
Hasta el momento se han descripto tres maneras de mitigar el problema, pero dependen mucho del sistema: deshabilitar el panel de previsualización de Windows desde el Explorer; deshabilitar WebClient Service y; renombrar ATMFD.DLL (rename atmfd.dll x-atmfd.dll
).
En Windows a partir de 1709, esta DLL no está presente, pero eso no quiere decir que no sea vulnerable.
La buena noticia es que precisamente los Windows a partir de 1709 procesan las fuentes a partir de un driver llamado fontdrvhost.exe que se encuentra dentro de un AppContainer. Esto hace que la libertad de movimientos del atacante sea muy limitada. No se sabe si los ataques encontrados permiten también salirse de la sandbox, aunque parece poco probable. Aun así, han calificado la vulnerabilidad como crítica.
Fuente: CyberPulse | Microsoft
Visitas: 19