Microsoft acaba de emitir el Aviso de seguridad ADV200004, titulado “Availability of updates for Microsoft software utilizing the Autodesk FBX library”.

A primera vista, puede que sí solo hacemos caso al título, lo podemos pasar por alto porque o no utilizamos archivos FBX o no dispongamos ningún producto de software de Autodesk.

Seremos honestos y admitiremos que ni siquiera habíamos oído hablar de archivos FBX hasta ahora, y mucho menos hemos creado uno: la abreviatura viene de Filmbox, y es un formato propiedad de Autodesk que se utiliza para guardar datos de captura de movimiento junto con audio y video.

Es probable que Autodesk sea aún más conocido por su software de dibujo asistido por ordenador AutoCAD, pero tiene una amplia gama de productos para la reproducción de video, la creación de juegos y más, donde el formato de archivo FBX es muy utilizado.

Bueno, Autodesk acaba de publicar su propio Aviso de seguridad ADSK-SA-2000-0002, “Vulnerabilities in the Autodesk® FBX Software Development Kit“.

Este aviso anuncia soluciones para seis vulnerabilidades de seguridad diferentes: CVE-2020-7080 a CVE-2020-7085 consecutivamente.

Al haber sido anunciadas al mismo tiempo, estas vulnerabilidades suenan como el tipo de corrección de múltiples errores que a veces surge después de revisar y probar el código existente para mejorarlo, y si es así, parece que la revisión fue en profundidad y que valió la pena.

Estas vulnerabilidades se deben a una serie de diferentes errores de programación que a menudo se arrastran en el código que maneja objetos de datos complejos, a saber: desbordamiento de búfer, confusión de tipos, use-after-free, desbordamiento de enteros y referencias a un puntero nulo.

Bueno, el problema reside en que parece que los productos Microsoft Office 2019 y Office 365 ProPlus de Microsoft incluyen soporte para archivos FBX, ya sea que utilices FBX o no, y que el código para procesar esos archivos proviene de Autodesk.

Por lo tanto, las últimas versiones de Office heredan estas seis vulnerabilidades etiquetadas con el CVE de Autodesk, y cinco de seis de ellas se permiten RCE, abreviatura de ejecución remota de código.

Microsoft también enumera los componentes de Windows 10 3D Viewer y Paint 3D como afectados por estos errores, por lo que esos productos también se han actualizado.


Clic para ejecutar

Como probablemente sepas, un error RCE que está presente cuando una aplicación vulnerable procesa un archivo malicioso lo que a menudo significa que simplemente abriendo o previsualizando ese archivo podría permitir que los delincuentes implanten malware en su ordenador.

Por lo general, no aparecerá ninguno de las habituales advertencias “¿Desea descargar?” o “este archivo quiere ejecutar un programa, ¿estás seguro?”, por lo que abrir el archivo no solo te sentirás a salvo, como se supone que es abrir un archivo de datos, sino que también parecerá que no ha ocurrido nada.

En otras palabras, un ciberdelincuente podría enviarte un correo electrónico con un archivo FBX, un archivo que no es un programa y no se supone que lo sea, que te pone en riesgo de lo que Microsoft llama clic para ejecutar.

Un error de hacer clic para ejecutar no es tan peligroso como un agujero de seguridad que se puede explotar de forma remota, incluso cuando nadie ha iniciado sesión, porque al menos hay que tener la tentación de mirar el elemento infractor.

Pero un ataque de hacer clic para ejecutar es mucho más peligroso que, por ejemplo, un archivo que contiene macros que deben autorizarse como un segundo paso después de abrir el documento.

E incluso si crees que nunca abrirás un archivo FBX porque suena sin importancia o irrelevante, recuerda que:

  • Los ciberdelincuentes rara vez envían un phishing a la vez. Incluso si los atacantes no se dirigen directamente a tu empresa, su base de datos de spam probablemente contenga múltiples emails para cada dominio de la empresa de todos modos. Los ladrones no tienen que engañar a todos: pueden apuntar a cualquiera y ganar si engañan a alguien.
  • Windows no muestra las extensiones de archivo de forma predeterminada. Un archivo llamado something.text.fbx generalmente se mostrará como something.text, que tiene un aspecto engañosamente seguro.


¿Qué hacer?

El aviso de Microsoft establece que “no ha identificado ningún factor atenuante [o] soluciones para [estas vulnerabilidades]”.

Nuestro consejo es el que repetimos hasta la saciedad: parchea rápido, parchea a menudo.

Y si eres un cliente de Autodesk, no olvides buscar actualizaciones para los productos de Autodesk afectados.

La lista de Autodesk incluye: varias versiones del FBX Software Development Kit (que presumiblemente es cómo estos errores terminaron en Office), Maya, Motion Builder, Mudbox, 3ds Max, Fusion, Revit, Flame, Infraworks, Navisworks y Autodesk AutoCAD.

Una cosa más

Mientras lo haces, ¡porque puedes! recomendamos decirle a Windows que no elimine las extensiones de archivo.

Es posible que aún no sepas que los archivos que terminan en .JS (JavaScript) son en realidad programas en lugar de archivos de datos, y generalmente son muy peligrosos de abrir directamente en tu ordenador.

Pero hay una ironía en que una vez que sabes qué son los archivos .JS, Windows no te facilita el uso de ese conocimiento para protegerte.

Escribe explorador de archivos en la barra de búsqueda e inicia la aplicación Windows File Explorer; ve al menú Ver y marca la casilla etiquetada Extensiones de nombre de archivo.

Si eres administrador de sistemas, puedes realizar este cambio para todos los usuarios a través de la Política de grupo de Windows. Si ves que te estas liando más que haciendo un sudoku, solo tienes que llamarnos al 619 25 12 41 o mandarnos un email o Tweet y te solucionaremos el «problema».
Recuerda para nosotros los problemas son soluciones rápidas de calidad 🤗