Históricamente se han considerado archivos potencialmente peligrosos
para Microsoft Windows los que poseían las muchas extensiones de
aplicaciones ejecutables que existen. En su código es posible ocultar
cualquier acción dañina para el sistema, y puede ser disimulada y pasar
desapercibida par el usuario. EXE, VBS, PIF, SRC, VBS, BAT y un largo
etcétera, son extensiones de las que hemos aprendido a desconfiar hace
tiempo. Desde hace poco, sin embargo, se pueden unir al conjunto de
sospechosas muchas otras que se han considerado desde siempre confiables.
De un tiempo a esta parte, se ha popularizado el uso de archivos con
extensiones históricamente confiables con la finalidad de difundir
código malicioso. El ejemplo más claro y conocido ha ocurrido con la
vulnerabilidad de procesamiento de WMF (Windows Meta File) que permitía
la ejecución de código arbitrario en el sistema con la simple
visualización de una imagen. Este fallo ha permitido la dispersión de
virus ocultos bajo aparentemente inofensivas imágenes con formatos JPG
o GIF gracias a exploits muy potentes y sofisticados.
El mismo día 1 de enero de 2006 VirusTotal detectaba un fichero que
fue enviado de forma masiva por correo electrónico y que simulaba una
felicitación para el nuevo año. El archivo adjunto, una imagen en
formato JPG, «HappyNewYear.jpg», comprometía el sistema con tan sólo
visualizarla. A partir de ahí, se han recibido en VirusTotal más de
diez variantes de malware con extensión JPG que aprovechaban la
vulnerabilidad y algunas variantes con extensión GIF. Debido a la
popularidad y facilidad para aprovecharse de esta vulnerabilidad,
la previsión es que vayan en aumento.
No sólo los usuarios de Microsoft deben preocuparse por estas
extensiones. En enero se han encontrado varias vulnerabilidades en Apple
QuickTime que pueden se aprovechadas por atacantes para ejecutar código
a través de formatos aparentemente inofensivos. Imágenes con formato
QTIF, TGA, TIFF y GIF especialmente manipuladas y visualizadas con Apple
QuickTime Player versión 7.0.3 y anteriores (para Mac OS X y Windows)
permiten la ejecución de código en el sistema de la víctima.
Igualmente este mes, se ha identificado una vulnerabilidad en BlackBerry
Enterprise Server (conocido servidor de comunicaciones inalámbricas) que
puede ser aprovechada por atacantes remotos para ejecutar código
arbitrario a través de un archivo PNG (Portable Network Graphics)
especialmente manipulado y enviado como adjunto.
Por si fuese poco, cuando ya creíamos enterrados a los virus de macro
que se extendían a través de documentos elaborados con la suite
Microsoft Office y este formato se consideraba relativamente seguro,
aparece un nuevo fallo de denegación de servicio en Microsoft Excel que
se rumorea (aún está por confirmar) que puede llevar a la ejecución de
código arbitrario con la simple visualización en Microsoft Office de una
hoja de cálculo en este formato.
Estos son sólo algunos ejemplos. Hoy resulta extraño encontrar un
servidor de correo que permita el envío de adjuntos en un formato
potencialmente peligroso. Las extensiones típicas que se han convertido
en vías de propagación de todo tipo de software dañino son filtradas sin
piedad por muchos administradores, conocedores de que en la mayoría de
los casos están destinadas a que un usuario incauto las ejecute y libere
el código maligno en su interior. Aun así la propagación de virus a
través de correo con archivo adjunto sigue siendo muy popular, y los
creadores de virus inventan todo tipo de triquiñuelas destinadas a
saltarse estas barreras de seguridad. Ofuscar la extensión, comprimir
los archivos y aprovechar las vulnerabilidades del sistema operativo
para ejecutar automáticamente código, son de las más populares. Gracias
a estas nuevas vulnerabilidades, tienen una nueva oportunidad para
saltarse estas barreras.
Entre otras medidas de seguridad, los administradores de sistemas de
correo electrónico deben asegurarse de que sus antivirus controlan y
examinan, no sólo los ficheros con extensión sospechosa, sino también
los archivos en principio confiables del tipo imagen o documento
ofimático. Bloquear estos ficheros resulta inviable pues su intercambio
a través de correo es necesario y legítimo en la mayoría de las
ocasiones. El problema que se les plantea es que si manejan un volumen
importante de archivos de este tipo, controlarlos a través de un
exhaustivo escaneo en la pasarela de correo en busca de virus, puede
suponer una degradación en el rendimiento del sistema y un retraso en el
intercambio de emails.
En cualquier caso la mejor solución, como de costumbre, pasa por la
educación de los usuarios finales encargados de recibir estos
documentos. Deben conocer los peligros de abrir los ficheros no
confiables, tengan la extensión que tengan, que provengan de fuentes
desconocidas.
ssantos@hispasec.com
Más información:
QuickTime Multiple Image/Media File Handling Vulnerabilities
http://docs.info.apple.com/article.html?artnum=303101
Corrupt PNG file may cause heap overflow in the BlackBerry Attachment
Service
http://www.blackberry.com/knowledgecenterpublic/livelink.exe/fetch/2000/8021/728075/728850/728215/?nodeid=1167794
Nuevo exploit WMF, más malware, y parche no oficial
http://www.hispasec.com/unaaldia/2626
Deja una respuesta