Microsoft da detalles sobre el 0 day que aprovecha Duqu: Cómo protegerse

Microsoft ha lanzado un boletín con algunos detalles sobre qué
vulnerabilidad aprovecha Duqu y cómo protegerse. Se trata de una
elevación de privilegios en el sistema, a causa de un error en el
tratamiento de ciertos tipos de fuentes.

Hace poco que se hizo público que Duqu aprovechaba una vulnerabilidad
previamente desconocida. Desde una-al-día hemos especulado con la
posibilidad de que se tratasen de dos vulnerabilidades: una en Word y
otra en el propio sistema para elevar privilegios. Microsoft ha emitido
un boletín confirmando y dando detalles sobre un fallo que permite la
elevación de privilegios. Aunque esto no descarta la posibilidad de un
fallo en Word, disminuye las probabilidades de que exista. Como también
indicamos, es posible que Word llame a esa DLL para tratar las fuentes
y desde ahí, consiga elevar privilegios.

El problema se centra en el controlador de sistema win32k.sys. Un fallo
al tratar ciertas fuentes permite que una aplicación eleve privilegios
y consiga control total del sistema. Así, Duqu podría conseguir los
permisos necesarios para incrustarse en Windows.

El boletín de Microsoft aconseja bloquear el acceso a la librería
t2embed.dll. Como no puede solucionar el fallo en win32k.sys a través
de una contramedida, para proteger a sus usuarios aconseja limitar el
acceso a una de las librerías involucradas en el procesado de las
fuentes incrustadas. Esto hace pensar que quizás existan otros vectores
de ataque posibles (aunque quizás poco probables) que no quedarían
cubiertos.

Aplicando la contramedida

Para aplicar la contramedida, Microsoft aconseja quitar todos los
permisos de acceso a la librería t2embed.dll, situada en
%windir%\system32\ en versiones de 32 bits y “%windir%\syswow64\ en
versiones de 64 bits. No sirve con renombrar, puesto que el sistema de
reemplazo automático de ficheros vitales de Microsoft, tomará de nuevo
la DLL de la caché y la volverá a situar con el mismo nombre en la misma
ruta.

Para conseguir este objetivo, se puede hacer a través del menú
contextual de seguridad del archivo (en varios pasos: tomando el
control, eliminando los permisos heredados y luego negando el acceso al
grupo “Todos”):

O bien a través de línea de comandos:

Para XP y 2003:
cacls “%windir%\system32\t2embed.dll” /E /P todos:N

Para 7 y Vista:
icacls.exe “%windir%\system32\t2embed.dll” /deny todos:(F)

teniendo en cuenta que antes hay que hacerse dueño del archivo (en
Windows 7 es posible que pertenezca al usuario TrustedInstaller, que
protege el archivo y lo reemplaza de una caché en caso de que no lo
encuentre). Para ello, se puede hacer por línea de comandos:

Takeown.exe /f “%windir%\system32\t2embed.dll”

Otra posibilidad, es aplicar el “Fix it” de Microsoft (un programa
que automáticamente realiza estos cambios). Disponible desde:
http://support.microsoft.com/kb/2639658

¿Por qué protegerse?

Lo cierto es que es muy poco probable que Duqu infecte a usuarios de
casa. ¿Por qué es tan importante protegerse entonces de este 0 day? Por
varias razones. Ahora que se conoce que existe una vulnerabilidad grave
de elevación de privilegios y que se aprovecha a través de una DLL
concreta, otros atacantes se pondrán a investigar en un área más
restringida con más posibilidades de éxito. Por tanto, es posible que
pronto se hagan públicos los detalles técnicos. O lo que es peor, que
las mafias organizadas la descubran y usen para infectar sistemas.

Es una vulnerabilidad muy golosa para los atacantes por varias razones:

* Es aprovechable a través de cualquier programa que utilice ciertas
fuentes TrueType.

* No solo ejecuta código, sino que lo hace con los máximos privilegios.
Esto, en Windows 7 y Vista donde los privilegios suelen ser mínimos,
está muy cotizado hoy en día entre los atacantes.

* No existe parche y, aunque Microsoft probablemente saque una solución
fuera de ciclo por la gravedad del asunto, los atacantes todavía
disponen de un margen de tiempo considerable.
 Fuente