La vulnerabilidad está siendo explotada al acceder a un archivo PDF malicoso en Windows XP.
Microsoft ha avisado que se trata de un fallo de validación de entrada en el controlador de minipuertos NDProxy.sys del kernel de Windows XP y Server 2003 y que podría ocasionar la elevación de privilegios en el sistema local.
FireEye reportó la vulnerabilidad día-cero, indicando que aunque no se puede usar para la ejecución remota de código sí podría permitir que una cuenta de usuario estándar pueda ejecutar código en el kernel de Windows. La vulnerabilidad está siendo explotada mediante otro exploit pero de una vulnerabilidad ya corregida en Adobe Reader. Los ataques detectados indican el uso de Adobe Reader 9.5.4, 10.1.6, 11.0.02 y anteriores en Windows XP SP3.
Microsoft está trabajando en el parche de seguridad que publicará ya sea en el martes de parches o antes de ser necesario.
Recomendaciones para mitigar el riesgo de seguridad:
- Actualizar a la versión más reciente de Adobe Reader y a Windows Vista o superiores, que no son afectados por la vulnerabilidad.
- Borrar NDProxy.sys y re-enrutar el servicio NDProxy a Null.sys, para bloquear los ataques.
- Usar firewall.
- Mantener el software actualizado.
- Usar software antivirus y anti-spyware y mantenerlo actualizado.
- Extremar precauciones al visitar sitios web desconocidos. Evitar hacer click en enlaces desconocidos o sospechosos. Evitar abrir archivos PDF o mensajes de correo electrónico de origen desconocido o sospechoso.
También siguen pendientes los parches a las vulnerabilidades día-cero encontradas en Office, Windows y Lync reportadas a principios de mes.
Vale la pena extremar las precauciones, más estando cerca el Viernes Negro y Lunes Cibernético característicos por ventas con ofertas de hasta el 90%.