Microsoft da detalles sobre el 0 day que aprovecha Duqu, ¿Cómo protegerse?


Microsoft da detalles sobre el 0 day que aprovecha Duqu y Cómo protegerse

Microsoft ha lanzado un boletín dando a conocer algunos detalles sobre qué vulnerabilidad aprovecha Duqu y cómo poder protegerse. Se trata de una elevación de privilegios en el sistema, a causa de un error en el tratamiento de ciertos tipos de fuentes.

Recientemente se hizo público que Duqu aprovechaba una vulnerabilidad previamente desconocida. Desde una-al-día se se publico y especulo la posibilidad de que se tratasen de dos vulnerabilidades: una en Word y otra en el propio sistema para elevar privilegios. Microsoft ha emitido un boletín confirmando y dando detalles sobre un fallo que permite la elevación de privilegios. Aunque esto no descarta la posibilidad de un fallo en Word, disminuye las probabilidades de que exista. Es posible que Word llame a esa DLL para tratar las fuentes y desde ahí, consiga elevar privilegios.
El problema se centra en el controlador de sistema win32k.sys. Un fallo al tratar ciertas fuentes permite que una aplicación eleve privilegios y consiga control total del sistema. De esa manera Duqu podría conseguir los permisos necesarios para incrustarse en Windows.
 
El boletín de Microsoft aconseja bloquear el acceso a la librería t2embed.dll. Como no puede solucionar el fallo en win32k.sys a través de una contramedida,  para proteger a sus usuarios aconseja limitar el acceso a una de las librerías involucradas en el procesado de las fuentes incrustadas.
Cómo aplicar la solución.
Para aplicar la contramedida, Microsoft aconseja quitar todos los permisos de acceso a la librería t2embed.dll, situada en %windir%\system32\ en versiones de 32 bits y “%windir%\syswow64\ en versiones de 64 bits. No sirve con renombrar, puesto que el sistema de reemplazo automático de ficheros vitales de Microsoft, tomará de nuevo la DLL de la caché y la volverá a situar con el mismo nombre en la misma ruta.
Para realizar este paso, se puede hacer a través del menú contextual de seguridad del archivo, haciendo lo siguiente: tomando el control, eliminando los permisos heredados y luego negando el acceso al grupo “Todos”):
 
 
Tambien podemos hacerlo a través de línea de comandos:
  • Para XP y 2003:
    cacls “%windir%\system32\t2embed.dll” /E /P todos:N
  • Para 7 y Vista:
    icacls.exe “%windir%\system32\t2embed.dll” /deny todos:(F)
Antes hay que hacerse dueño del archivo (en Windows 7 es posible que pertenezca al usuario TrustedInstaller, que protege el archivo y lo reemplaza de una caché en caso de que no lo encuentre). Para ello, se puede hacer por línea de comandos:
      Takeown.exe /f “%windir%\system32\t2embed.dll”
Si nos cuesta realizar lo anterior podemos aplicar el “Fix it” de Microsoft, un programa que automáticamente realiza estos cambios. Le dejo el link para que puedan descargalo: http://support.microsoft.com/kb/2639658
 
¿Por qué es necesario la protección?
Es muy poco probable que Duqu infecte a usuarios de casa. ¿Por qué es tan importante protegerse entonces de este 0 day? Hay varias razones. Ahora que se conoce que existe una vulnerabilidad grave de elevación de privilegios y que se aprovecha a través de una DLL concreta, otros atacantes se pondrán a investigar en otras areas con más posibilidades de éxito. Es posible que pronto se hagan públicos los detalles técnicos. O lo peor, que las mafias organizadas la descubran y usen para infectar sistemas.
Es una vulnerabilidad viable para los atacantes por las siguientes:
  • Es aprovechable a través de cualquier programa que utilice ciertas fuentes TrueType.

     
  • Aparte de ejecutar código, lo hace con los máximos privilegios. Esto, en Windows 7 y Vista donde los privilegios suelen ser mínimos, y por tanto es muy atacado.

     
  • Actualmente no existe parche y, aunque Microsoft probablemente saque una solución fuera de ciclo por la gravedad del asunto, los atacantes todavía disponen de un margen de tiempo considerable para realizar sus ataques.
Pueden encontar mas información en:
Vulnerability in TrueType Font Parsing Could Allow Elevation of Privilege

Publicado el noviembre 4, 2011 en Seguridad. Añade a favoritos el enlace permanente. 2 comentarios.

  1. I loved as much as you will receive carried out right here.
    The sketch is attractive, your authored subject matter
    stylish. nonetheless, you command get got an edginess over that you wish be delivering the following.
    unwell unquestionably come further formerly
    again as exactly the same nearly very often inside case you shield this increase.

Deja tu comentario:

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s