Descripción: Se ha descubierto un nuevo ‘zero-day’ siendo explotado activamente en sistemas Windows. La vulnerabilidad permite a los atacantes ejecutar código malicioso y tomar el control de la máquina. Según ha publicado Microsoft en su boletín, la librería ‘Adobe Type Manager’ (atmfd.dll) procesa de forma insegura ciertos tipos de fuentes en formato Adobe Type 1 PostScript, lo que permitiría a un atacante ejecutar código en el contexto del usuario actual utilizando un documento que contenga fuentes especialmente manipuladas.

Todas las versiones de Windows y Windows Server con soporte son vulnerables a este fallo. Incluida la versión 7 de Windows a la que se ha dejado de dar soporte recientemente. Existen múltiples formas de que un atacante pueda explotar la vulnerabilidad y bastaría con convencer a la víctima de abrir, o incluso previsualizar un documento especialmente manipulado. Según ha comunicado Microsoft el parche no estaría disponible hasta el «Patch tuesday» del 14 de abril, por lo que recomienda a usuarios y empresas tomar las siguientes contramedidas:

  • Desactivar el panel de vista previa y el panel de detalles en el Explorador de Windows.

  1. Abra Windows Explorer, de clic en Organize, y clic en Layout.
  2. Borrar tanto el Details pane y el Preview pane en el menú de opciones.
  3. Clic en Organize,y clic en Folder and search options.
  4. Clic en la tabla View.
  5. Debajo de Advanced settings, escoja la opción Always show icons, never thumbnails.
  6. Cierre todas las instancias de Windows Explorer para que tome el cambio.

 

Para Windows Server 2016, Windows 10 y Windows Server 2019, realice los siguientes pasos:

  1. Abra Windows Explorer, clic en la tabla de View.
  2. Borrar tanto el Details pane y el Preview pane en el menú de opciones.
  3. Clic en Options, y luego clic en Change folder y search options.
  4. Clic en la tabla de View.
  5. Debajo de Advanced settings,
  6. escoja la opción Always show icons, never thumbnails.
  7. Cierre todas las instancias de Windows Explorer para que tome el cambio.

Impacto de la solución. El Explorador de Windows no mostrará automáticamente las fuentes OTF.

 

Cómo deshacer la solución alternativa.

Para volver a habilitar los paneles Vista previa y Detalles en el Explorador de Windows para Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2 y Windows 8.1:

  1. Abra Windows Explorer, clic Organize, y despúes Layout.
  2. Seleccione tanto el Details pane como el Preview pane en el menú de opciones.
  3. Clic Organize, y clic en Folder y search options.
  4. Clic en la tabla de View.
  5. Debajo de Advanced settings, limpiar o desmarcar Always show icons, never thumbnails en el cuadro.
  6. Cierre todas las instancias de Windows Explorer para que tome el cambio.

 

Para Windows Server 2016, Windows 10, and Windows Server 2019:

  1. Abra Windows Explorer, de clic en la tabla View.
  2. Seleccione tanto Details pane como Preview pane en le menu de opciones.
  3. Clic Options, y clic en Change folder y search options.
  4. Clic en la tabla View
  5. Debajo de Advanced settings, limpiar o desmarcar Always show icons, never thumbnails en el cuadro.
  6. Cierre todas las instancias de Windows Explorer para que tome el cambio.

 

  • Deshabilitar el servicio WebClient

  1. Clic Start, clic Run (o presione Windows Key y R sobre el teclado), tipo de Services.msc y entonces OK.
  2. Clic derecho en el servicio de WebClient  y seleccione Properties.
  3. Cambie el tipo de inicio a Disabled. Si el servicio esta corriendo, clic en Stop.
  4. Clic OK y salga de la aplicación de gestión.

Nota: “sc stop webclient”, se recomienda revisar el Servicio Web Client con “sc query webclient”,

Impacto de la solución

Cuando el servicio WebClient está deshabilitado, no se transmiten las solicitudes de creación y control de versiones distribuidas web (WebDAV). Además, cualquier servicio que dependa explícitamente del servicio WebClient no se iniciará y se registrará un mensaje de error en el registro del sistema. Por ejemplo, los recursos compartidos de WebDAV serán inaccesibles desde la computadora del cliente.

 

Cómo deshacer la solución alternativa

Para volver a habilitar el servicio WebClient, realice los siguientes pasos:

  1. Clic Start, clic Run (o presione Windows Key y R sobre el teclado), tipo de Services.msc y entonces OK.
  2. Clic derecho en el servicio de WebClient  y seleccione Properties.
  3. Cambie el tipo de inicio a Automatic. Si el servicio  no esta corriendo, clic en Start.
  4. Clic OK y salga de la aplicación de gestión.

 

  • Renombre ATMFD.DLL

ATMFD.DLL no está presente en las instalaciones de Windows 10 que comienzan con Windows 10, versión 1709. Las versiones más recientes no tienen esta DLL. Vea la sección de mitigación para más información.

Opción General

1. Crear un block de notas y pegar el siguiente text:

Windows Registry Editor Version 5.00
[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindows]“DisableATMFD”=dword:00000001

seguidamente nombrarlo ATMFD.REG
2.       Abrir el editor de registro de Windows
3.       Importar el archivo ATMFD.reg
4.       Click en abrir y OK

 

Para sistemas de 32 bits:

  1. Ingrese los siguientes comandos como administrador:
cd "%windir%\system32"
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F) 
rename atmfd.dll x-atmfd.dll

2. Reinicie el sistema.

 

Para sistemas de 64 bits:

  1. Ingrese los siguientes comandos como administrador:
cd "%windir%\system32"
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F) 
rename atmfd.dll x-atmfd.dll
cd "%windir%\syswow64"
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F) 
rename atmfd.dll x-atmfd.dll

2. Reinicie el sistema

 

Aviso

ATMFD.DLL no está presente en las instalaciones de Windows 10 que comienzan con Windows 10, versión 1709. Las versiones más recientes no tienen esta DLL. Vea la sección de mitigación para más información.

Referencias

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/adv200006

https://isc.sans.edu/forums/diary/Windows+Zeroday+Actively+Exploited+Type+1+Font+Parsing+Remote+Code+Execution+Vulnerability/25936/

 

 

No Comment

You can post first response comment.

Leave A Comment

Please enter your name. Please enter an valid email address. Please enter message.

You may also like