Mientras se suceden nuevos incidentes protagonizados por exploits y
malware basados en la vulnerabilidad WMF que afecta a Windows, y a la
falta de un parche oficial por parte de Microsoft, un reputado
programador ha publicado una solución.
En los últimos días no han dejado de aparecer nuevos ataques en forma
de malware que aprovechan la vulnerabilidad en el procesamiento WMF.
Destaca la publicación de un nuevo exploit mucho más potente, capaz
de presentarse bajo otros formatos de imágenes y generar código
polimórfico que dificulta su detección genérica por parte de los
antivirus, IDS, y resto de soluciones basadas en firmas.
Uno de los últimos especímenes que hacen uso de este exploit fue
detectado en VirusTotal a las 1:30 horas del día 1 de enero de este
recién estrenado 2006. Precisamente se trata de un troyano que fue
enviado de forma masiva por correo electrónico y que simulaba una
felicitación para el nuevo año. El archivo adjunto, una aparente e
inofensiva imagen en formato JPG, «HappyNewYear.jpg», compromete el
sistema con tan sólo visualizarlo.
En el momento de recibir la muestra en VirusTotal tan sólo Symantec
lo reconocía como Bloodhound.Exploit.56. Al escribir estas líneas
ya lo detectan:
AntiVir [EXP/IMG.WMF.A]
Avira [EXP/IMG.WMF.A]
BitDefender [Exploit.Win32.WMF-PFV]
ClamAV [Exploit.WMF.B]
eTrust-Iris [Win32/Worfo!Trojan]
eTrust-Vet [Win32/Worfo]
Ewido [Not-A-Virus.Exploit.Win32.IMGWMF.a]
F-Prot [security risk or a «backdoor» program]
Kaspersky [Exploit.Win32.IMG-WMF.a]
McAfee [Exploit-WMF]
Sophos [Troj/DownLdr-QB]
Symantec [Backdoor.Bifrose]
TheHacker [Exploit/WMF]
VBA32 [Exploit.Win32.IMG-WMF.a]
Sin embargo no se trata de un caso aislado, en los dos últimos días
hemos recibido en VirusTotal 10 variantes de malware con extensión
JPG que aprovechan la vulnerabilidad, y en las últimas horas hemos
recibido 3 variantes con extensión GIF, y la previsión es que vaya
en aumento.
Sin duda estamos ante un caso crítico que requiere de Microsoft la
máxima celeridad en la publicación de la pertinente actualización,
sin necesidad de que tengamos que esperar al segundo martes de enero
según su política periódica de distribución de parches. Cada hora
que transcurre sin actualización de Microsoft aumenta el número
de incidentes, recordemos que estamos ante un parque de millones de
sistemas afectados por una vulnerabilidad crítica.
Mientras tanto ha surgido una iniciativa particular, a modo de parche
temporal no oficial, por parte de Ilfak Guilfanov, un reconocido
desarrollador, autor del popular desensamblador IDA. El parche de
Ilfak, además de corregir la vulnerabilidad, no afecta a la
funcionalidad del sistema, por lo que las imágenes seguirán
visualizándose sin problemas.
Desde Hispasec, a la espera de la actualización oficial de Microsoft,
nos unimos a la recomendación de F-Secure y SANS, entre otros, y
aconsejamos instalar el parche de Ilfak, disponible para
Windows 2000, XP 32-bit, XP 64-bit, y Windows Server 2003 en
http://www.hexblog.com/security/files/wmffix_hexblog13.exe
Adicionalmente Ilfak ha publicado una utilidad que permite conocer si
nuestro sistema es o no vulnerable, disponible en la dirección:
http://www.hexblog.com/security/files/wmf_checker_hexblog.exe
bernardo@hispasec.com
Más información:
Más malware basado en vulnerabilidad WMF y parche no oficial
http://blog.hispasec.com/laboratorio/87
30/12/2005 – Nuevas consideraciones sobre la vulnerabilidad de proceso de WMFs
http://www.hispasec.com/unaaldia/2624
29/12/2005 – Microsoft confirma la vulnerabilidad al procesar .WMF
http://www.hispasec.com/unaaldia/2623
28/12/2005 – Vulnerabilidad en tratamiento de archivos WMF de Windows
http://www.hispasec.com/unaaldia/2622
Deja un comentario