Las vulnerabilidades de día cero en la biblioteca de Adobe Type Manager afectan a múltiples SO de Windows

Microsoft ha publicado un aviso de seguridad sobre vulnerabilidades en la biblioteca de Adobe Type Manager, que ya están explotando los cibercriminales.

Actualizado el 14 de abril

Microsoft ha emitido una advertencia sobre dos nuevas vulnerabilidades en la biblioteca de Adobe Type Manager. Además, según sus informaciones, algunos atacantes ya las están explotando en ataques dirigidos. El 14 de abril, Microsoft publicó las actualizaciones de seguridad que solucionaban estas vulnerabilidades.

 

¿Qué es Adobe Type Manager Library y cómo es vulnerable?

Hubo una época en la que, para poder visualizar las fuentes propiedad de Adobe en Windows, tenías que instalar un software adicional: Adobe Type Manager. Pero esto no resultaba muy cómodo para los usuarios finales, por lo que Adobe finalmente abrió las especificaciones de sus formatos y Microsoft incorporó el soporte de fuentes en sus sistemas operativos. Para ello se utiliza la biblioteca de Adobe Type Manager.

Según Microsoft, el problema reside en cómo maneja la biblioteca las fuentes de un formato particular: las fuentes Type 1 PostScript de Adobe. Un atacante puede crear una fuente Type 1 PostScript de tal forma que obtenga la capacidad de ejecutar código arbitrario en un equipo con Windows. Existen varios vectores de ataque para aprovechar la vulnerabilidad: los atacantes pueden convencer a la víctima para que abra un documento malicioso o simplemente para verlo a través del panel de previsualización (se refiere al panel del sistema y no a una función similar en el cliente de correo Microsoft Outlook).

Los atacantes también pueden explotar esta vulnerabilidad a través de una extensión al HTTP llamada Autoría y versionado distribuidos por Web (WebDAV por sus siglas en inglés), que permite a los usuarios colaborar en un documento.

Microsoft sugiere deshabilitar el servicio WebClient, que te permite usar esta función, y destaca que este es el vector de ataque remoto más probable.

Qué sistemas son vulnerables

Esta vulnerabilidad está presente en 40 versiones diferentes de los sistemas operativos Windows 10, Windows 7, Windows 8.1, Windows Server 2008, Windows Server 2012, Windows Server 2016 y Windows Server 2019. El aviso de seguridad de Microsoft ADV200006 contiene una lista completa de los sistemas vulnerables.

No obstante, la compañía explica que en las versiones compatibles de Windows 10 un ataque exitoso solo permitirá que se ejecute código malicioso en el contexto del sandbox de AppContainer con privilegios y capacidades limitados.

Actualización: según Microsoft, la explotación de esta vulnerabilidad en Windows 10 es poco probable. Incluso han reducido el nivel de gravedad de este problema de “crítico” a “importante” y no recomiendan utilizar soluciones alternativas para este sistema. También enfatizan que los ataques dirigidos se han encontrado en sistemas con Windows 7.

¿Existe un parche?

En estos momentos, Microsoft no ha publicado el parche para la vulnerabilidad en la biblioteca de Adobe Type Manager. Sin embargo, la compañía tiene planeado publicar un parche en el próximo Patch Tuesday, que tendrá lugar el 14 de abril. Tan pronto como esto suceda, actualizaremos la publicación.

Qué hacer

Por nuestra parte, te sugerimos que utilices una solución de seguridad de confianza para proteger el correo electrónico (ya que es el medio más común para el envío de documentos maliciosos) y también que cuentes con una solución de protección para endpoint que pueda frenar la actividad maliciosa, incluidos los exploits. Kaspersky Endpoint Security for Business advanced puede encargarse de ambas tareas. No hace falta decir que lo mejor es no abrir documentos y archivos adjuntos en correos electrónicos si no estás seguro de su procedencia.

Como todavía no hay parches, Microsoft sugiere que recurras a los siguientes métodos alternativos:

  1. Desactivar los paneles de vista previa y detalles.
  2. Desactivar el servicio Webclient (que deshabilitará WebDAV).
  3. Deshabilitar la biblioteca ATMFD.DLL.

En la guía de seguridad de Microsoft encontrarás instrucciones detalladas sobre cómo hacer estas tres cosas. Vale la pena señalar que deshabilitar el servicio Webclient dará como resultado que las solicitudes de WebDAV no se aborden y que, por tanto, las aplicaciones que dependen de WebDAV no funcionen correctamente. Lo mismo ocurre con ATMFD.DLL: las aplicaciones que lo usan no funcionarán correctamente si lo deshabilitas.

Consejos