Microsoft publicó un boletín sobre qué vulnerabilidad aprovecha Duqu y cómo protegerse. Se trata de una elevación de privilegios en el sistema, a causa de un error en el tratamiento de ciertos tipos de fuentes.
Detalles de la vulnerabilidad:
- El problema se centra en el controlador de sistema win32k.sys. Un fallo al tratar ciertas fuentes permite que una aplicación eleve privilegios y consiga control total del sistema. Así, Duqu podría conseguir los permisos necesarios para incrustarse en Windows.
Recomendaciones de Microsoft:
- El boletín de Microsoft aconseja bloquear el acceso a la librería t2embed.dll. Como no puede solucionar el fallo en win32k.sys a través de una contramedida, para proteger a sus usuarios aconseja limitar el acceso a una de las librerías involucradas en el procesado de las fuentes incrustadas.
- Para aplicar la contramedida, Microsoft aconseja quitar todos los permisos de acceso a la librería t2embed.dll, situada en %windir%\system32\ en versiones de 32 bits y "%windir%\syswow64\ en versiones de 64 bits.
Modos de aplicar las contramedidas:1. A través del menú contextual de seguridad del archivo (en varios pasos: tomando el control, eliminando los permisos heredados y luego negando el acceso al grupo "Todos")
2. Por medio de la línea de comandos:
Para XP y 2003:
cacls "%windir%\system32\t2embed.dll" /E /P todos:N
Para 7 y Vista:
icacls.exe "%windir%\system32\t2embed.dll" /deny todos:(F)
teniendo en cuenta que antes hay que hacerse dueño del archivo (en Windows 7 es posible que pertenezca al usuario TrustedInstaller, que protege el archivo y lo reemplaza de una caché en caso de que no lo encuentre). Para ello, se puede hacer por línea de comandos:
Takeown.exe /f "%windir%\system32\t2embed.dll"3. Otra posibilidad, es aplicar el "Fix it" de Microsoft (un programa que automáticamente realiza estos cambios). Disponible desde: http://support.microsoft.com/kb/2639658
Más información:
Vulnerability in TrueType Font Parsing Could Allow Elevation of Privilege
http://technet.microsoft.com/en-us/security/advisory/2639658
Fuente: Hispasec
