Microsoft libera Fix it para solucionar vulnerabilidad “LNK”

Publicado hace 4 años por en Noticias Seguridad

Microsoft ha publicado una herramienta (Fix it) para reparar la falla de seguridad en Windows sin parchear, ocasionada por vulnerabilidad en la funcionalidad de los ficheros LNK y .PIF. La compañía de Redmond a su vez, informa que continua trabajando en el desarrollo de un parche para la vulnerabilidad.

La herramienta de microsoft, mitiga la vulnerabilidad al deshabilitar la visualización de los iconos en la barra de tareas y el menú de Windows. Si bien el Fix it no es un parche que repare la falla completamente, por lo menos permite mitigar riesgos de seguridad a través del principal vector de ataque.

La vulnerabilidad se debe a que Windows lee incorrectamente determinados enlaces directos (ficheros .lnk) que han sido previamente modificados, de tal manera que cuando el usuario visualiza dichos enlaces se ejecuta el código malicioso. Esta falla de seguridad puede ser explotada a nivel local a través dispositivos USB maliciosos sin hacer uso del tradicional autorun.inf, es decir, que simplemente utilizando un explorador de ficheros que visualice iconos es suficiente para infectar el equipo. También de forma remota a través de unidades compartidas de red y WebDAV. Un exploit también puede ser incluido en los tipos de documentos específicos soportados por accesos directos, dice Microsoft

Instalación y configuración del Fix it: Esta es una traducción al español del anuncio de microsoft publicado en el aviso de seguridad técnico de INTECO-CERT.

El Fix-It permite deshabilitar la funcionalidad de los ficheros .LNK y .PIF en equipos Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 y Windows Server R2. Tras la instalación los iconos de la barra de tareas y del menú de inicio serán remplazados por iconos blancos sin una representación gráfica.

Para su instalación y configuración visite: Soporte Microsoft Nota: La instalación del “Fix it” requiere reiniciar el equipo

Si existen problemas a la hora de instalar el “Fix it”, puede desinstalar el mismo usando el ejecutable debajo de “Disable workaround” y llevar a cabo el proceso de forma manual:

  1. Seleccionar Inicio -> Ejecutar y escribir Regedit
  2. Localizar y pulsar la entrada de registro “HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler”
  3. Pulsar en el menú archivo y seleccionar exportar
  4. En el cuadro de diálogo de exportación introducir LNK_Icon_Backup.reg y pulsar en guardar. (Nota: Esto creará por defecto la clave de registro en “Mis Documentos”)
  5. Seleccionar el valor (Default) en la parte derecha del editor del registro. Pulsar Intro para editar el valor de la clave. Pulsar suprimir para borrar el valor de la entrada, de manera que el valor quede vacío.
  6. Reiniciar explorer.exe o reiniciar el ordenador.

Deshabilitando el servicio WebClient ayuda a proteger los sistemas afectados de los intentos de aprovechar esta vulnerabilidad a distancia a través de WebDAV (Web Distributed Authoring and Versioning). Para deshabilitar WebClient Service:

  1. Seleccionar Inicio -> Ejecutar y escribir services.msc
  2. Pulsar boton derecho sobre WebClient service y seleccionar Properties
  3. Cambiar el tipo de inicio a Disable. Si el servicio está corriendo, pulsar Stop
  4. Pulsar OK y salir de la aplicación de gestión

Nota: Cuando el servicio WebClient está deshabilitado, las solicitudes de WebDAV no se transmitirán. Además, cualquier servicio que dependa explícitamente del servicio de Web Client no se iniciará, y un mensaje de error será generado en el registro del sistema.

En Security by Default además propone otra solución haciendo uso de las Directivas de Restricción de Software.

Referencias:

Inteco: Vulnerabilidad en el intérprete de comandos de Windows

Microsoft Security Advisory: Vulnerability in Windows Shell could allow remote code execution