Microsoft ha lanzado un boletín con algunos detalles sobre la vulnerabilidad que aprovecha Duqu y cómo protegerse. Se trata de una elevación de privilegios en el sistema, a causa de un error en el tratamiento de ciertos tipos de fuentes.

Hace poco que se hizo público que Duqu aprovechaba una vulnerabilidad previamente desconocida. Desde Hispasec han especulado con la posibilidad de que se tratasen de dos vulnerabilidades: una en Word y otra en el propio sistema para elevar privilegios. Microsoft ha emitido un boletín confirmando y dando detalles sobre un fallo que permite la elevación de privilegios. Aunque esto no descarta la posibilidad de un fallo en Word, disminuye las probabilidades de que exista. Como también indicamos, es posible que Word llame a esa DLL para tratar las fuentes y desde ahí, consiga elevar privilegios.

El problema se centra en el controlador de sistema win32k.sys. Un fallo al tratar ciertas fuentes permite que una aplicación eleve privilegios y consiga control total del sistema. Así, Duqu podría conseguir los permisos necesarios para incrustarse en Windows.

El boletín de Microsoft aconseja bloquear el acceso a la librería t2embed.dll. Como no puede solucionar el fallo en win32k.sys a través de una contramedida,  para proteger a sus usuarios aconseja limitar el acceso a una de las librerías involucradas en el procesado de las fuentes incrustadas. Esto hace pensar que quizás existan otros vectores de ataque posibles (aunque quizás poco probables) que no quedarían cubiertos.

¿Por qué protegerse?

Lo cierto es que es muy poco probable que Duqu infecte a usuarios de casa. ¿Por qué entonces es tan importante protegerse de este 0 day?. Pues por varias razones. Ahora que se conoce que existe una vulnerabilidad grave de elevación de privilegios y que se aprovecha a través de una DLL concreta, otros atacantes se pondrán a investigar en un área más restringida con más posibilidades de éxito. Por tanto, es posible que pronto se hagan públicos los detalles técnicos. O lo que es peor, que las mafias organizadas la descubran y usen para infectar sistemas.

Es una vulnerabilidad muy atractiva para los atacantes por las razones siguientes:

  • Es aprovechable a través de cualquier programa que utilice ciertas fuentes TrueType.
  • No solo ejecuta código, sino que lo hace con los máximos privilegios. Esto, en Windows 7 y Vista donde los privilegios suelen ser mínimos, está muy cotizado hoy en día entre los atacantes.
  • Actualmente no existe parche y aunque lo mas probable es que Microsoft saque una solución fuera de ciclo por la gravedad del asunto, los atacantes todavía disponen de un margen de tiempo considerable a su favor.

Aplicando la contramedida

Para aplicar la contramedida, Microsoft aconseja quitar todos los permisos de acceso a la librería t2embed.dll, situada en %windir%\system32\ en versiones de 32 bits y “%windir%\syswow64\ en versiones de 64 bits. No sirve con renombrar, puesto que el sistema de reemplazo automático de ficheros vitales de Microsoft, tomará de nuevo la DLL de la caché y la volverá a situar con el mismo nombre en la misma ruta.

Para conseguir este objetivo, se puede hacer a través del menú contextual de seguridad del archivo (en varios pasos: tomando el control, eliminando los permisos heredados y luego negando el acceso al grupo “Todos”):

O bien a través de línea de comandos:

Para Windows XP y 2003:

cacls “%windir%\system32\t2embed.dll” /E /P todos:N

Para Windows 7 y Vista:

icacls.exe “%windir%\system32\t2embed.dll” /deny todos:(F)

Teniendo en cuenta que antes hay que hacerse dueño del archivo (en Windows 7 es posible que pertenezca al usuario TrustedInstaller, que protege el archivo y lo reemplaza de una caché en caso de que no lo encuentre). Para ello, se puede hacer por línea de comandos:

Takeown.exe /f “%windir%\system32\t2embed.dll”

Para más información sobre esta vulnerabilidad, visite el enlace a la página web de Asesoramiento de Seguridad de Microsoft (en inglés).

Otra posibilidad, para los usuarios que no quieran estar ejecutando comandos es aplicar el “Fix it” de Microsoft (un programa que automáticamente realiza estos cambios). Para usar este programa siga leyendo a continuación y encontrara los enlaces al programa:

La solución “Fix it”  que se describe a continuación no pretende ser un reemplazo para cualquier actualización de seguridad. Se le recomienda que instale siempre las últimas actualizaciones de seguridad. Sin embargo, Microsoft ofrece esta solución “Fix it” como una opción de solución porque no existe en este momento una actualización de seguridad disponible para resolver esta vulnerabilidad.

Para descargar esta solución “Fix it”, haga clic en el enlace bajo el título Enable (Activar) o Disable (Desactivar). Después de descargado el archivo correspondiente haga doble clic en para ejecutarlo y siga los pasos del asistente de reparación.

En conclusión los usuarios que quieran utilizar este “Fix it” para evitar ser vulnerables a Duqu tienen que descargar la solución Enable (Microsoft Fit it 50792) y proceder a ejecutarlas en sus computadoras.

Cuando se ejecuta la solución Enable (Habilitar), la solución niega el acceso al sistema del archivo T2EMBED.DLL.

Para Habilitar Microsoft Fix it 50792

Enlace de descarga: Fix this problem

Cuando se ejecuta la solución Disable (Desactivar), la solución permite el acceso al sistema del archivo T2EMBED.DLL.

Para Desactivar Microsoft Fix it 50793

Enlace de descarga: Fix this problem

 Notas:

  • Estos asistentes pueden estar en inglés solamente. Sin embargo, las correcciones automáticas trabajan también para otras versiones de idioma de los sistemas operativos Windows.
  • Si usted no está en el equipo que tiene el problema, puede guardar la corrección automática en una unidad flash o en un CD, y luego se puede ejecutar en el equipo que tiene el problema.

Fuentes:

hispasec.com

Support Microsoft (KB 2639658)

Anuncios