Ieri Microsoft ha rilasciato il Security Advisory 2639568 allo scopo di fornire indicazioni e contromisure per la vulnerabilità nel motore di rendering dei font TrueType del kernel di Windows, relativa al malware Duqu. Tale malware viene diffuso tramite un file Microsoft Word contenente codice malevolo che sfrutta tale vulnerabilità per infettare il sistema vittima.

L'advisory fornisce un workaround che può essere applicato su tutti i sistemi Windows supportati. Tale workaround consiste nel disabilitare l'accesso al file t2embed.dll, la libreria che gestisce gli Embedded Fonts in Windows. C'è da ricordare che bloccare l'accesso a questo file può provocare problemi di visualizzazione dei documenti, perché appunto la renderizzazione degli Embedded Fonts non sarà possibile. Per applicare e disattivare questo workaround sono disponibili dei pacchetti automatici Microsoft Fix It, scaricabili dal Microsoft Knowledge Base Article 2639658, oppure cliccando direttamente qui per il pacchetto di abilitazione del workaround, oppure qui per il pacchetto di disattivazione. Se invece si vuole applicare il workaround manualmente, di seguito sono disponibili i comandi da utilizzare nelle varie versioni di Windows, sia 32 che 64 bit.

Per applicare il workaround su Windows XP e Windows Server 2003, eseguire i seguenti comandi da una console amministrativa:

Per versioni a 32 bit
Echo y| cacls "%windir%\system32\t2embed.dll" /E /P "tutti gli utenti":N

Per versioni a 64 bit
Echo y| cacls "%windir%\system32\t2embed.dll" /E /P "tutti gli utenti":N
Echo y| cacls "%windir%\syswow64\t2embed.dll" /E /P "tutti gli utenti":N

Per disattivare il workaround, eseguire i seguenti comandi:

Per versioni a 32 bit
cacls "%windir%\system32\t2embed.dll" /E /R "tutti gli utenti"

Per versioni a 64 bit
cacls "%windir%\system32\t2embed.dll" /E /R "tutti gli utenti"
cacls "%windir%\syswow64\t2embed.dll" /E /R "tutti gli utenti"

Su Windows Vista, Windows 7, Windows Server 2008 e Windows Server 2008 R2, i comandi da eseguire in una console amministrativa sono i seguenti:

Per versioni a 32 bit
Takeown.exe /f "%windir%\system32\t2embed.dll"
Icacls.exe "%windir%\system32\t2embed.dll" /deny *S-1-1-0:(F)

Per versioni a 64 bit
Takeown.exe /f "%windir%\system32\t2embed.dll"
Icacls.exe "%windir%\system32\t2embed.dll" /deny *S-1-1-0:(F)
Takeown.exe /f "%windir%\syswow64\t2embed.dll"
Icacls.exe "%windir%\syswow64\t2embed.dll" /deny *S-1-1-0:(F)

Per disattivare il workaround, invece, eseguire i seguenti comandi:

Per versioni a 32 bit
Icacls.exe %WINDIR%\system32\t2embed.DLL /remove:d  *S-1-1-0

Per versioni a 64 bit
Icacls.exe %WINDIR%\system32\t2embed.DLL /remove:d  *S-1-1-0
Icacls.exe %WINDIR%\syswow64\t2embed.DLL /remove:d  *S-1-1-0

I comando per Windows Vista, Windows 7, Windows Server 2008 e Windows Server 2008 R2 sono validi per tutte le localizzazioni di Microsoft Windows, mentre quelli per Windows XP e Windows Server 2003 sono validi solo per l'edizione italiana e potrebbero aver bisogno di qualche ritocco ritocco in altre lingue (Inglese, Tedesco, Francese, ecc).

Oltre all'advisory, sono stati rilasciate informazioni ai partner tramite il programma Microsoft Active Protections Program (MAPP) su come costruire signature per i loro prodotti di sicurezza. Ciò significa che a breve, e probabilmente già da adesso, i vendor di prodotti anti-malware avranno a disposizione un aggiornamento delle signature per rilevare e bloccare i tentativi di exploit di questa vulnerabilità.

Inoltre il nostro team interno di sviluppo ha determinato la causa della vulnerabilità ed è già a lavoro su un aggiornamento, che verrà rilasciato probabilmente durante il normale ciclo di update, ma non sarà disponibil per il mese di Novembre.

Infine, data la possibilità di rilevare i tentativi di exploit di questa vulnerabilità, Microsoft sta monitorando la situazione di rischio. Allo stato attuale, i tentativi di exploit non sono un numerosi, ma è possibile che questa situazione cambi. Incoraggiamo quindi di applicare il workaround suggerito e di assicurarsi che il proprio fornitore di software anti-malware ha a disposizione le signature per rilevare questi tentativi.

Se avete domande di qualsiasi tipo, non esitate a lasciare un commento qui in basso oppure a contattarmi direttamente.

Gerardo Di Giacomo
Security Program Manager - MSRC