Sistemas Afectados
• Windows XP, Vista y 7.
• Windows Server 2003 y 2008. Excluyendo sistemas Windows Server 2008 o 2008 R2 instalados con la opción Server Core.
Descripción
Microsoft ha publicado un parche (fixit) para evitar la explotación de la vulnerabilidad utilizada por el virus Duqu para infectar los equipos Windows.
Solución
Hasta que el fabricante publique una actualización de seguridad, como solución temporal, se puede instalar el fixit publicado por Microsoft que desactiva el aceso a t2embed.dll.
Los comandos que ejecuta el fixit pueden introducirse manualmente y se pueden obtener, para cada sistema operativo en aviso de seguridad de Microsoft (2639658) en el apartado Workarounds.
Detalle
La vulnerabilidad ha sido descubierta tras analizar el “0-day” que explota el virus Duqu para infectar los equipos.
El fallo de seguridad (CVE-2011-3402) se encuentra en el motor de procesamiento (“parseo”) de fuentes TrueType Win32k y que puede ser explotada a través de este tipo de fuentes modificadas maliciosamente. Además, también puede ser explotada si un usuario abre un documento infectado recibido, por ejemplo, a través del correo electrónico o al visitar páginas web que incluyen fuentes TrueType.
Impacto:
• Ejecución de código arbitrario en modo kernel.
Referencias
• Microsoft Security Advisory: Vulnerability in TrueType font parsing could allow elevation of privileges