jueves, 29 de diciembre de 2005

Microsoft confirma la vulnerabilidad al procesar .WMF

Microsoft publica un aviso de seguridad donde confirma la existencia
de una nueva vulnerabilidad en Windows, para la que aun no existe
parche, y que está siendo aprovechada para infectar los sistemas
automáticamente al visitar determinadas páginas webs.

Tal y como comentábamos en el una-al-día de ayer, están proliferando
los sitios webs que contienen archivos Windows MetaFile (WMF)
especialmente diseñados para explotar un desbordamiento de buffer
en la biblioteca que procesa, entre otros, los archivos de imágenes
WMF.

Microsoft amplía el número de sistemas afectados por la vulnerabilidad
a prácticamente la mayoría de versiones Windows, según su aviso entre
el software afectado se encuentra Windows 98, Windows 98SE, Windows ME,
Windows 2000 SP4, Windows XP SP1, Windows XP SP2, Windows XP x64
Edition, Windows 2003 y Windows 2003 SP1 en sus versiones Itanium y
x64.

En el apartado de prevención, se recomienda no visitar enlaces no
confiables que nos lleguen a través del correo electrónico, IRC,
mensajería instantánea, foros web, grupos de noticias, etc. que
podrían ser un cebo para que visitemos las páginas que contienen
los archivos WMF maliciosos.

Otro consejo genérico, que además puede prevenir de otro tipo de
ataques, como el phishing, pasa por configurar nuestro cliente de
correo para leer los mensajes sin formato, sólo en modo texto.

Adicionalmente, como medida de mitigación a la espera del parche
específico que corrija esta vulnerabilidad, Microsoft ha documentado
como puede desactivarse la biblioteca Shimgvw.dll utilizada por
el Visor de imágenes y Fax de Windows, y que está siendo aprovechada
por los archivos WMF maliciosos conocidos hasta la fecha.

Los pasos son los siguientes:

* Desde el menú Inicio, seleccionar Ejecutar, y teclear (sin las
comillas): "regsvr32 -u %windir%\system32\shimgvw.dll"

* Aparecerá una ventana informando de que la operación se ha
realizado con éxito. Aceptamos.

Como efecto colateral a esta medida de mitigación, el Visor de
Imágenes y Fax de Windows no funcionará cuando intentemos abrir
directamente un archivo asociado a esta aplicación, ni podremos
previsualizar los archivos WMF en Explorer.

Cuando Microsoft publique e instalemos el parche para corregir la
vulnerabilidad podremos reestablecer la funcionalidad de esta
aplicación con los mismos pasos descritos anteriormente, pero
ejecutando en esta ocasión el comando (sin las comillas)
"regsvr32 %windir%\system32\shimgvw.dll"

Desde Hispasec también debemos indicar que la mayoría de soluciones
antivirus están incorporando firmas para proteger a sus usuarios
contra los archivos WMF maliciosos, aunque la proliferación de
variantes es continua.

Como ejemplo, aquí podemos ver como detecta cada solución antivirus
una de las primeras versiones publicadas de archivo WMF que
explota la vulnerabilidad para descargar spyware:

AntiVir [TR/Dldr.WMF.Small]
Avast [Win32:Exdown]
AVG [Downloader.Agent.13.AJ]
Avira [TR/Dldr.WMF.Small]
BitDefender [Exploit.Win32.WMF-PFV.A]
CAT-QuickHeal [WMF.Exploit]
ClamAV [Exploit.WMF.A]
DrWeb [Exploit.MS05-053]
eTrust-Iris [Win32/Worfo.B!Trojan]
eTrust-Vet [Win32/Worfo]
Ewido [Not-A-Virus.Exploit.Win32.Agent.r]
Fortinet [W32/WMF-exploit]
F-Prot [security risk or a "backdoor" program]
Kaspersky [Trojan-Downloader.Win32.Agent.acd]
McAfee [Exploit-WMF]
NOD32v2 [Win32/TrojanDownloader.Wmfex]
Panda [Exploit/Metafile]
Sophos [Troj/DownLdr-LW]
Symantec [Download.Trojan]
TheHacker [Exploit/WMF]

Otra medida de mitigación, aunque evidentemente no es mencionada en
el aviso de Microsoft, es utiliza un navegador diferente a Internet
Explorer, como Firefox u Opera, que no procesan automáticamente los
archivos WMF y requieren la intervención del usuario para abrirlos.

Por último, esperar que Microsoft acelere, en la medida de lo posible,
la publicación del parche correspondiente, sin necesidad de esperar
al segundo martes del mes que viene según su política de publicación
periódica, ya que sin duda se trata de un caso excepcional: la
vulnerabilidad es crítica, está siendo explotada de forma activa, y
el número de ataques/variantes aumenta progresivamente.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Microsoft Security Advisory (912840)
Vulnerability in Graphics Rendering Engine Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/912840.mspx

Microsoft Windows Metafile Handling Buffer Overflow
http://www.us-cert.gov/cas/techalerts/TA05-362A.html

28/12/2005 - Vulnerabilidad en tratamiento de archivos WMF de Windows
http://www.hispasec.com/unaaldia/2622

No hay comentarios:

Publicar un comentario en la entrada