Microsoft libera de emergencia una actualización crítica

Publicado el 21 julio 2015 por Jesús Jiménez @zonageeknet

Ayer Microsoft liberó una actualización crítica fuera de calendario. Debido al alto nivel de la amenaza que representa, recomendamos que actualices de inmediato.

La falla afecta a todos los sistemas Windows Vista, Windows 7, Windows 8, Windows 8.1 y Windows RT. Inclusive afectado a las versiones beta y las aun no liberadas de Windows 10. Según informan desde Microsoft, esta vulnerabilidad podría permitir tomar control completo del equipo afectado. Esto es, desde instalar programas, ver y alterar datos y hasta crear nuevas cuentas de usuarios con privilegios administrativos.

La vulnerabilidad salió a la luz gracias al hackeo reciente que sufrió la empresa de espionaje Hacking Team, junto con otro montón de vulnerabilidades incluida la de Flash.

La falla ocurre cuando un documento con fuentes OpenType incrustadas especialmente modificado es abierto por el usuario, ya que la librería que controla este tipo de fuentes, maneja inadecuadamente algunos caracteres especialmente manipulados. Sabiendo esto, un atacante podría convencer a un usuario para visitar un sitio especialmente diseñado para explotar la vulnerabilidad, o enviar un correo con un adjunto con fuentes OpenType especialmente manipuladas para tal fin.

Desde la página de Microsoft sugieren actualizar inmediatamente a través de Windows Update, pero si no tienes posibilidad de actualizar, puedes usar un procedimiento alternativo para deshabilitar el uso de fuentes OpenType, pero teniendo en cuenta que toda aplicación que use fuentes OpenType pueden dejar de funcionar o mostrarse de manera incorrecta.

NOTA: Todo el procedimiento debe realizase con privilegios administrativos.

Para sistemas de 32 bits (x86)

cd "%windir%\system32"
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F) 
rename atmfd.dll x-atmfd.dll
Se debe reiniciar el sistema después de este cambio

Para sistemas de 64 bits (x64)

cd "%windir%\system32"
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F) 
rename atmfd.dll x-atmfd.dll
cd "%windir%\syswow64"
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F) 
rename atmfd.dll x-atmfd.dll
Se debe reiniciar el sistema después de este cambio

Opcionalmente para los sistemas Windows 8 y posteriores, se puede deshabilitar el ATMFD modificando un valor de registro

Procedimiento:

Ejecutamos el editor de registro en Ejecutar >> regedit.

Luego navegamos hasta la siguiente rama:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows

Verificamos el valor DisableATMFD Si no existe, creamos uno nuevo, tipo DWORD le colocamos el valor 1

Luego de esto, reiniciamos el sistema.

Para deshacer lo anterior sigue el siguiente procedimiento:

Para sistemas de 32 bits (x86)

cd "%windir%\system32"
rename x-atmfd.dll atmfd.dll
icacls.exe atmfd.dll /setowner "NT SERVICE\TrustedInstaller"
icacls.exe . /restore atmfd.dll.acl
Se debe reiniciar el sistema después de este cambio

Para sistemas de 64 bits (x64)

cd "%windir%\system32"
rename x-atmfd.dll atmfd.dll
icacls.exe atmfd.dll /setowner "NT SERVICE\TrustedInstaller"
icacls.exe . /restore atmfd.dll.acl
cd "%windir%\syswow64"
rename x-atmfd.dll atmfd.dll
icacls.exe atmfd.dll /setowner "NT SERVICE\TrustedInstaller"
icacls.exe . /restore atmfd.dll.acl
Se debe reiniciar el sistema después de este cambio

Opcionalmente para los sistemas Windows 8 y posteriores, se debe deshacer el cambio realizado en el registro. Para deshacer el cambio, devuelve el valor de registro a su estado original.

Procedimiento:

Ejecutamos el editor de registro en Ejecutar >> regedit.

Luego navegamos hasta la siguiente rama:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows

Verificamos el valor DisableATMFD que debería ser tipo DWORD y le colocamos el valor 0

Luego de esto, reiniciamos el sistema.

El hackeo a Hacking Team ha abierto una de las brechas de seguridad más grandes de la historia, liberando a la luz pública un sinnúmero de ZeroDays que pueden estar siendo utilizados por los ciberdelincuentes para robar información e infiltrarse en los equipos para fines criminales. Es importante estar al pendiente de cada actualización o reporte y buscar la forma de protegerse de inmediato para mitigar el impacto que puedan tener.

Fuente: Microsoft

Curioso, Apasionado por la ciencia, investigador nato. CEO, Editor y Redactor en ZonaGeek.Net.