Home Sociedad Microsoft advierte de dos fallos de día cero en Windows

Microsoft advierte de dos fallos de día cero en Windows

Los atacantes están explotando activamente dos vulnerabilidades de seguridad, previamente no reveladas, que afectan a todas las versiones soportadas así como a algunas de las versiones ya no soportadas del sistema operativo Windows, anunció Microsoft, en un aviso, fuera de banda, el lunes.

Las fallas de seguridad, calificadas como críticas, están siendo utilizadas para ataques dirigidos limitados. Esto implicaría campañas por parte de actores de amenazas avanzadas comprometiendo objetivos cuidadosamente elegidos. Dicho esto, citando la necesidad de “ayudar a reducir el riesgo del cliente hasta que la actualización de seguridad sea liberada”, el gigante de la tecnología reveló públicamente las fallas.

“Existen dos vulnerabilidades de ejecución de código remoto en Microsoft Windows cuando la biblioteca de Windows Adobe Type Manager maneja incorrectamente una fuente multimaestro especialmente diseñada – el formato PostScript de Adobe Type 1”, dijo el gigante de la tecnología. Adobe Type Manager es una herramienta de gestión de fuentes que ayuda a Windows a manejar y renderizar las fuentes.

Hay varias maneras en que los actores malos pueden aprovechar los defectos, incluyendo engañar a sus objetivos para que abran un archivo con trampa o para que lo vean en el panel de vista previa de Windows, dijo Microsoft.

Las fallas afectan a todas las versiones soportadas de Windows, incluyendo Windows 10, así como a los sistemas que han pasado el fin de su vida útil, especialmente Windows 7. Microsoft insinuó que la solución no llegaría hasta el próximo lanzamiento de actualizaciones de seguridad del martes de parches, el 14 de abril. Aún así, las máquinas que ejecutan los sistemas operativos retirados no recibirán la actualización incluso después de su envío – a menos que sus propietarios estén inscritos en el programa de Actualizaciones de Seguridad Extendidas de Microsoft (ESU).

Mientras que las fallas son clasificadas como críticas para todos los sistemas afectados, la compañía señaló que en Windows 10 el potencial de explotación es limitado. “Para los sistemas que ejecutan versiones soportadas de Windows 10 un ataque exitoso sólo podría resultar en la ejecución de código dentro de un contexto de caja de arena AppContainer con privilegios y capacidades limitadas”, dijo el gigante de la tecnología. En el momento de escribir este artículo, a las vulnerabilidades aún no se les han asignado identificadores CVE.

Microsoft sugirió una serie de mitigaciones temporales y soluciones provisionales para contrarrestar el riesgo mientras se trabaja en el parche. Estas incluyen la desactivación del panel de vista previa y del panel de detalles en el Explorador de Windows y el cambio de nombre de la biblioteca (atmfd.dll). La guía paso a paso está disponible en la asesoría de la empresa.

Hace semanas, Microsoft publicó parches para un fallo criptográfico crítico en Windows y un día cero en Internet Explorer. Los investigadores de ESET descubrieron un exploit en 2018 que aprovechaba un par de dos zero-days en Adobe Reader y Windows, mientras que el año pasado encontraron un exploit que abusaba de otra vulnerabilidad de zero-day de Windows (CVE-2019-1132).

Con información de: ABC.