La frecuencia con la que han estado apareciendo reportes sobre vulnerabilidades día cero explotadas en escenarios reales es una de las principales preocupaciones de la comunidad de la ciberseguridad. Recientemente, un reporte elaborado por el equipo de análisis de vulnerabilidades de Microsoft reveló que los actores de amenazas han estado explotando activamente un error día cero para ejecutar código malicioso en sistemas Windows, incluso en los que cuentan con todas las actualizaciones de seguridad de la compañía.
Acorde al reporte, esta es una vulnerabilidad de ejecución remota de código vinculada a algunos ataques recientemente detectados y que reside en Adobe Type Manager Library, un DLL de Windows empleado por múltiples aplicaciones para la administración y representación de las fuentes de Adobe Systems.
Para ser específicos, el ataque consiste en la explotación de dos vulnerabilidades de ejecución de código que podrían ser desencadenadas para generar un manejo inapropiado de fuentes maestras diseñadas con fines maliciosos. Para explotar las fallas, los hackers sólo tienen que engañar al usuario objetivo para que abra un documento especialmente diseñado.
El equipo de análisis de vulnerabilidades de Microsoft no especificó si los actores de amenazas han tenido éxito en sus ataques o si, en caso contrario, sólo son intentos de hacking. Cabe mencionar que, en la mayoría de ocasiones, los mecanismos de seguridad de Windows pueden evitar que un exploit funcione tal como esperan los atacantes.
Hasta el momento, Microsoft no ha lanzado un parche, aunque un grupo de especialistas en análisis de vulnerabilidades emitió las siguientes recomendaciones para mitigar el riesgo de explotación:
- Inhabilitar los paneles de Vista Previa y Detalles en el Explorador de Windows
- Inhabilitar el servicio WebClient
- Cambiar el nombre de ATMFD.DLL; o bien desactivar el archivo de registro
Además, se recomienda a los administradores de implementaciones Windows permanecer al tanto de las actualizaciones de la compañía sobre este inconveniente de seguridad y el lanzamiento de los parches completos.
Acorde al Instituto Internacional de Seguridad Cibernética (IICS), dadas las características del ataque, y a la aparente opacidad de Microsoft respecto a los objetivos identificados hasta el momento, es altamente probable que se trate de una campaña de espionaje contra altos funcionarios gubernamentales o directivos de alguna compañía.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
