A lo largo del día de hoy se ha detectado en la red un exploit que
aprovecha una vulnerabilidad de Microsoft Windows XP y 2003, para la que
de momento no existe parche, y que puede ser explotada por atacantes
remotos para comprometer los sistemas afectados.

Dicho código de explotación, localizado en el dominio
unionseek[PUNTO]com, aprovecha un problema de Windows XP y 2003
(concretamente, en el componente «Visor de imágenes y fax de Windows»)
a la hora de tratar metaarchivos de Windows (WMF) para ejecutar código
arbitrario.

Si la víctima utiliza Internet Explorer, puede provocarse la ejecución
automática de código arbitrario al visitar la web maliciosa. Otros
navegadores como Firefox preguntarán sobre si se quiere cargar la imagen
en el componente vulnerable antes mencionado.

Este código malicioso se está utilizando para distribuir troyanos
como Trojan-Downloader.Win32.Agent.abs, Trojan-Dropper.Win32.Small.zp,
Trojan.Win32.Small.ga y Trojan.Win32.Small.ev.

En estos momentos varias soluciones antivirus presentes en VirusTotal
detectan el exploit, por lo que además conviene mantener actualizado
el antivirus que se utilice.

El problema se ha confirmado en sistemas XP y 2003 totalmente
parcheados, aunque no se descarta que pueda afectar a otras plataformas.

A la espera de un parche de actualización que solvente el problema, se
recomienda filtrar el acceso a dicho dominio, además de archivos en ese
formato a nivel aplicación (proxy web, servidor de correo, etc).

Julio Canto
jcanto@hispasec.com

Más información:

Microsoft Windows Graphics Rendering Engine WMF Format Unspecified Code
Execution Vulnerability
http://www.securityfocus.com/bid/16074/info

Windows WMF 0-day exploit in the wild (NEW)
http://isc.sans.org/diary.php?storyid=972

Compártelo: