Microsoft ha lanzado un boletín con algunos detalles sobre qué vulnerabilidad aprovecha Duqu y cómo protegerse. Se trata de una elevación de privilegios en el sistema, a causa de un error en el tratamiento de ciertos tipos de fuentes.
Hace poco que se hizo público que Duqu aprovechaba una vulnerabilidad previamente desconocida. Desde una-al-día hemos especulado con la posibilidad de que se tratasen de dos vulnerabilidades: una en Word y otra en el propio sistema para elevar privilegios. Microsoft ha emitido un boletín confirmando y dando detalles sobre un fallo que permite la elevación de privilegios. Aunque esto no descarta la posibilidad de un fallo en Word, disminuye las probabilidades de que exista. Como también indicamos, es posible que Word llame a esa DLL para tratar las fuentes y desde ahí, consiga elevar privilegios.
El problema se centra en el controlador de sistema win32k.sys. Un fallo al tratar ciertas fuentes permite que una aplicación eleve privilegios y consiga control total del sistema. Así, Duqu podría conseguir los permisos necesarios para incrustarse en Windows.
El boletín de Microsoft aconseja bloquear el acceso a la librería t2embed.dll. Como no puede solucionar el fallo en win32k.sys a través de una contramedida, para proteger a sus usuarios aconseja limitar el acceso a una de las librerías involucradas en el procesado de las fuentes incrustadas. Esto hace pensar que quizás existan otros vectores de ataque posibles (aunque quizás poco probables) que no quedarían cubiertos.
Aplicando la contramedida
Para aplicar la contramedida, Microsoft aconseja quitar todos los permisos de acceso a la librería t2embed.dll, situada en %windir%\system32\ en versiones de 32 bits y «%windir%\syswow64\ en versiones de 64 bits. No sirve con renombrar, puesto que el sistema de reemplazo automático de ficheros vitales de Microsoft, tomará de nuevo la DLL de la caché y la volverá a situar con el mismo nombre en la misma ruta.
Para conseguir este objetivo, se puede hacer a través del menú contextual de seguridad del archivo (en varios pasos: tomando el control, eliminando los permisos heredados y luego negando el acceso al grupo «Todos»):
O bien a través de línea de comandos:
-
Para XP y 2003:
cacls «%windir%\system32\t2embed.dll» /E /P todos:N -
Para 7 y Vista:
icacls.exe «%windir%\system32\t2embed.dll» /deny todos:(F)
teniendo en cuenta que antes hay que hacerse dueño del archivo (en Windows 7 es posible que pertenezca al usuario TrustedInstaller, que protege el archivo y lo reemplaza de una caché en caso de que no lo encuentre). Para ello, se puede hacer por línea de comandos:
Takeown.exe /f «%windir%\system32\t2embed.dll»
Otra posibilidad, es aplicar el «Fix it» de Microsoft (un programa que automáticamente realiza estos cambios). Disponible desde: http://support.microsoft.com/kb/2639658
¿Por qué protegerse?
Lo cierto es que es muy poco probable que Duqu infecte a usuarios de casa. ¿Por qué es tan importante protegerse entonces de este 0 day? Por varias razones. Ahora que se conoce que existe una vulnerabilidad grave de elevación de privilegios y que se aprovecha a través de una DLL concreta, otros atacantes se pondrán a investigar en un área más restringida con más posibilidades de éxito. Por tanto, es posible que pronto se hagan públicos los detalles técnicos. O lo que es peor, que las mafias organizadas la descubran y usen para infectar sistemas.
Es una vulnerabilidad muy golosa para los atacantes por varias razones:
-
Es aprovechable a través de cualquier programa que utilice ciertas fuentes TrueType.
-
No solo ejecuta código, sino que lo hace con los máximos privilegios. Esto, en Windows 7 y Vista donde los privilegios suelen ser mínimos, está muy cotizado hoy en día entre los atacantes.
-
No existe parche y, aunque Microsoft probablemente saque una solución fuera de ciclo por la gravedad del asunto, los atacantes todavía disponen de un margen de tiempo considerable.
Más información:
Vulnerability in TrueType Font Parsing Could Allow Elevation of Privilege
Sergio de los Santos
Twitter: @ssantosv
Xavier Xaus Nadal dice
Buenas,
Y la cuestión sería en que nos afecta el bloqueo a esta librería t2embed.dll?
twinses dice
Hola, me surge una duda…
Si aplicamos el «Fix it» de Microsoft, que automáticamente realiza los cambios para bloquear la dll, ¿que debemos hacer cuando salga el parche de seguridad con Windows Update? ¿Tendremos que deshacerlo antes o se instalara directamente con el «Fix it» aplicado?.
Gracias.
Snape dice
Hola.
Tras aplicar los cambios tanto de forma manual como mediante el Fix de Microsoft, me aparece el siguiente problema:
Las actualizaciones KB 982132 y la KB972270 el sistema no las detecta, por lo que tanto mediante la aplicación de Actualizaciones Automáticas, como accediendo a la página de Microsoft Update, aparecen continuos mensajes que hay estas dos aplicaciones pendientes de descargar e instalar. Aunque las descargues y las instales, el error persiste.
Yo estas actualizaciones las tengo instaladas desde el mismo día que aparecieron y en el apartado de Agregar o Quitar programas aparecen como instaladas.
Por otro lado, la aplicación que tiene Nod32 V.5.0.93, que avisa de los parches de seguridad del sistema pendientes de instalar, tampoco las detecta, por lo que te da el aviso de que tienes actualizaciones de seguridad pendientes de instalar.
Quitando las restricciones a dicha libreria, los problemas desaparecen.
Todo esto en Win XP Profesional SP3 con todas los parches y actualizaciones de seguridad instalados.
No se si alguien más tiene este problema.
Un saludo
Anónimo dice
@twinses El «Fix it» elimina el acceso a «todos». Por tanto, para aplicar el parche, será mejor antes deshacer el «Fix it». Se puede hacer desde la misma página.