Hace poco que se hizo público que Duqu aprovechaba una vulnerabilidad previamente desconocida. Desde una-al-día hemos especulado con la posibilidad de que se tratasen de dos vulnerabilidades: una en Word y otra en el propio sistema para elevar privilegios. Microsoft ha emitido un boletín confirmando y dando detalles sobre un fallo que permite la elevación de privilegios. Aunque esto no descarta la posibilidad de un fallo en Word, disminuye las probabilidades de que exista. Como también indicamos, es posible que Word llame a esa DLL para tratar las fuentes y desde ahí, consiga elevar privilegios.
El problema se centra en el controlador de sistema win32k.sys. Un fallo al tratar ciertas fuentes permite que una aplicación eleve privilegios y consiga control total del sistema. Así, Duqu podría conseguir los permisos necesarios para incrustarse en Windows.
El boletín de Microsoft aconseja bloquear el acceso a la librería t2embed.dll. Como no puede solucionar el fallo en win32k.sys a través de una contramedida, para proteger a sus usuarios aconseja limitar el acceso a una de las librerías involucradas en el procesado de las fuentes incrustadas. Esto hace pensar que quizás existan otros vectores de ataque posibles (aunque quizás poco probables) que no quedarían cubiertos.
Aplicando la contramedida
Para aplicar la contramedida, Microsoft aconseja quitar todos los permisos de acceso a la librería t2embed.dll, situada en %windir%system32 en versiones de 32 bits y «%windir%syswow64 en versiones de 64 bits. No sirve con renombrar, puesto que el sistema de reemplazo automático de ficheros vitales de Microsoft, tomará de nuevo la DLL de la caché y la volverá a situar con el mismo nombre en la misma ruta.
Para conseguir este objetivo, se puede hacer a través del menú contextual de seguridad del archivo (en varios pasos: tomando el control, eliminando los permisos heredados y luego negando el acceso al grupo «Todos»)
O bien a través de línea de comandos:
Para XP y 2003:
cacls «%windir%system32t2embed.dll» /E /P todos:N
Para 7 y Vista:
icacls.exe «%windir%system32t2embed.dll» /deny todos:(F)
teniendo en cuenta que antes hay que hacerse dueño del archivo (en Windows 7 es posible que pertenezca al usuario TrustedInstaller, que protege el archivo y lo reemplaza de una caché en caso de que no lo encuentre). Para ello, se puede hacer por línea de comandos:
Takeown.exe /f «%windir%system32t2embed.dll»
Otra posibilidad, es aplicar el «Fix it» de Microsoft (un programa que automáticamente realiza estos cambios). Disponible desde:
http://support.microsoft.com/kb/2639658
¿Por qué protegerse?
Lo cierto es que es muy poco probable que Duqu infecte a usuarios de casa. Entonces ¿por qué es tan importante protegerse entonces de este 0 day? Por varias razones. Ahora que se conoce que existe una vulnerabilidad grave de elevación de privilegios y que se aprovecha a través de una DLL concreta, otros atacantes se pondrán a investigar en un área más restringida con más posibilidades de éxito. Por tanto, es posible que pronto se hagan públicos los detalles técnicos. O lo que es peor, que las mafias organizadas la descubran y usen para infectar sistemas.
Es una vulnerabilidad muy golosa para los atacantes por varias razones:
• Es aprovechable a través de cualquier programa que utilice ciertas fuentes TrueType.
• No solo ejecuta código, sino que lo hace con los máximos privilegios. Esto, en Windows 7 y Vista donde los privilegios suelen ser mínimos, está muy cotizado hoy en día entre los atacantes.
• No existe parche y, aunque Microsoft probablemente saque una solución fuera de ciclo por la gravedad del asunto, los atacantes todavía disponen de un margen de tiempo considerable.
Sergio de los Santos
Noticias Hispasec
Twitter: @ssantosv
