Lanzamiento del parche de emergencia para la vulnerabilidad de Windows MS15-078 (KB3079904)

Microsoft lanzó ayer un parche de emergencia a través de actualizaciones automáticas a todas las versiones compatibles de su sistema operativo Windows que corrige un problema crítico que podría permitir la ejecución remota de código cuando se explota con éxito.

Específicamente, la vulnerabilidad explota un problema en la biblioteca de Windows Adobe Type Manager cuando se cargan en el sistema documentos especialmente diseñados con fuentes OpenType.



Esto puede suceder cuando los usuarios abren documentos maliciosos en el sistema directamente o cuando visitan sitios web que utilizan fuentes OpenType incrustadas. Dado que ATM puede ser utilizado por otros programas además de Internet Explorer, puede afectar a sistemas donde se utilizan otros navegadores web para navegar por Internet o abrir documentos.

Cuando se explota con éxito, los atacantes pueden tomar el control del sistema instalando o eliminando programas, modificando cuentas de usuario o eliminando datos.

Es interesante notar que el parche reemplaza a MS15-077 (KB3077657) que Microsoft lanzó el 14 de julio de 2015, que corrigió una vulnerabilidad de elevación de privilegios en el controlador de fuentes de Adobe Type Manager.

microsoft windows ms15-07 kb3079904

La vulnerabilidad afecta a todas las versiones de Windows, incluidas las versiones no compatibles de Windows XP y Windows 2003. Si bien Windows XP no recibió ninguno de los dos parches, Windows 2003 recibió el primero de los dos, pero no el segundo debido al EOL del soporte.



Los administradores y usuarios de Microsoft Windows XP y Windows 2003 pueden encontrar útiles las instrucciones de solución manual en el sitio web oficial del boletín, que pueden utilizar para proteger los sistemas contra vulnerabilidades. La compañía sugiere cambiar el nombre del archivo atmfd.dll en sistemas anteriores a Windows 8 y deshabilitar Adobe Type Manager en Windows 8 o sistemas posteriores.

Cambiar el nombre de atmfd.dll en sistemas de 32 bits

cd '% windir% system32'
takeown.exe / f atmfd.dll
icacls.exe atmfd.dll / guardar atmfd.dll.acl
icacls.exe atmfd.dll / grant Administradores: (F)
cambiar el nombre de atmfd.dll x-atmfd.dll

Cambiar el nombre de atmfd.dll en sistemas de 64 bits

cd '% windir% system32'
takeown.exe / f atmfd.dll
icacls.exe atmfd.dll / guardar atmfd.dll.acl
icacls.exe atmfd.dll / grant Administradores: (F)
cambiar el nombre de atmfd.dll x-atmfd.dll
cd '%windir%syswow64'
takeown.exe / f atmfd.dll
icacls.exe atmfd.dll / guardar atmfd.dll.acl
icacls.exe atmfd.dll / grant Administradores: (F)
cambiar el nombre de atmfd.dll x-atmfd.dll

Deshabilitar atmfd en Windows 8 o posterior

  • Toque la tecla de Windows, escriba regedit y presione enter.
  • Navegue hasta la clave: HKLM Software Microsoft Windows NT CurrentVersion Windows DisableATMFD
  • Si DisableATMFD no existe, haga clic con el botón derecho en Windows y seleccione Nuevo> Valor Dword (32 bits).
  • Establezca su valor en 1.

El parche que Microsoft lanzó hoy corrige la vulnerabilidad en todos los sistemas compatibles. Puede instalarse mediante actualizaciones automáticas en los sistemas domésticos del sistema operativo o descargarse a través del Centro de descargas de Microsoft. Los enlaces de descarga para cada sistema operativo afectado se proporcionan bajo 'software afectado' en el MS15-078 Pagina de soporte.

Microsoft afirma que la vulnerabilidad es pública pero que no tiene conocimiento de ataques que la estén utilizando actualmente. La naturaleza de lanzamiento de emergencia del parche indica una alta probabilidad de que el problema sea explotado en un futuro cercano.

El exploit fue descubierto después de que los piratas informáticos filtrado archivos internos de la empresa italiana Hacking Team.