Vulnerabilidad en tratamiento de archivos WMF de MS-Windows

Escrito el 29 diciembre, 2005 – 12:44 | por Alejandrobit | 1.921 lecturas

A lo largo del día de ayer (28/12/2005) se ha detectado en la red un exploit que aprovecha una vulnerabilidad de Microsoft Windows XP y 2003, para la que de momento no existe parche, y que puede ser explotada por atacantes remotos para comprometer los sistemas afectados.

Dicho código de explotación, localizado en el dominio unionseek[PUNTO]com, aprovecha un problema de Windows XP y 2003 (concretamente, en el componente "Visor de imágenes y fax de Windows") a la hora de tratar metaarchivos de Windows (WMF) para ejecutar código arbitrario.

Si la víctima utiliza Internet Explorer, puede provocarse la ejecución automática de código arbitrario al visitar la web maliciosa. Otros navegadores como Firefox preguntarán sobre si se quiere cargar la imagen en el componente vulnerable antes mencionado.

Este código malicioso se está utilizando para distribuir troyanos como Trojan-Downloader.Win32.Agent.abs, Trojan-Dropper.Win32.Small.zp, Trojan.Win32.Small.ga y Trojan.Win32.Small.ev.

En estos momentos varias soluciones antivirus presentes en VirusTotal detectan el exploit, por lo que además conviene mantener actualizado el antivirus que se utilice.

El problema se ha confirmado en sistemas XP y 2003 totalmente parcheados, aunque no se descarta que pueda afectar a otras plataformas.

El dia de hoy (29/12/2005), Microsoft publica un aviso de seguridad donde confirma la existencia de una nueva vulnerabilidad en Windows, para la que aun no existe parche, y que está siendo aprovechada para infectar los sistemas automáticamente al visitar determinadas páginas webs.

Tal y como comentábamos anteriormente, están proliferando los sitios webs que contienen archivos Windows MetaFile (WMF) especialmente diseñados para explotar un desbordamiento de buffer en la biblioteca que procesa, entre otros, los archivos de imágenes WMF.

Microsoft amplía el número de sistemas afectados por la vulnerabilidad a prácticamente la mayoría de versiones Windows, según su aviso entre el software afectado se encuentra Windows 98, Windows 98SE, Windows ME, Windows 2000 SP4, Windows XP SP1, Windows XP SP2, Windows XP x64 Edition, Windows 2003 y Windows 2003 SP1 en sus versiones Itanium y x64.

En el apartado de prevención, se recomienda no visitar enlaces no confiables que nos lleguen a través del correo electrónico, IRC, mensajería instantánea, foros web, grupos de noticias, etc. que podrían ser un cebo para que visitemos las páginas que contienen los archivos WMF maliciosos.

Otro consejo genérico, que además puede prevenir de otro tipo de ataques, como el phishing, pasa por configurar nuestro cliente de correo para leer los mensajes sin formato, sólo en modo texto.

Adicionalmente, como medida de mitigación a la espera del parche específico que corrija esta vulnerabilidad, Microsoft ha documentado como puede desactivarse la biblioteca Shimgvw.dll utilizada por el Visor de imágenes y Fax de Windows, y que está siendo aprovechada por los archivos WMF maliciosos conocidos hasta la fecha.

Los pasos son los siguientes:

* Desde el menú Inicio, seleccionar Ejecutar, y teclear (sin las comillas): "regsvr32 -u %windir%\system32\shimgvw.dll"

* Aparecerá una ventana informando de que la operación se ha realizado con éxito. Aceptamos.

Como efecto colateral a esta medida de mitigación, el Visor de Imágenes y Fax de Windows no funcionará cuando intentemos abrir directamente un archivo asociado a esta aplicación, ni podremos previsualizar los archivos WMF en Explorer.

Cuando Microsoft publique e instalemos el parche para corregir la vulnerabilidad podremos reestablecer la funcionalidad de esta aplicación con los mismos pasos descritos anteriormente, pero ejecutando en esta ocasión el comando (sin las comillas) "regsvr32 %windir%\system32\shimgvw.dll"

También debemos indicar que la mayoría de soluciones antivirus están incorporando firmas para proteger a sus usuarios contra los archivos WMF maliciosos, aunque la proliferación de variantes es continua.

Como ejemplo, aquí podemos ver como detecta cada solución antivirus una de las primeras versiones publicadas de archivo WMF que explota la vulnerabilidad para descargar spyware:

AntiVir [TR/Dldr.WMF.Small]
Avast [Win32:Exdown]
AVG [Downloader.Agent.13.AJ]
Avira [TR/Dldr.WMF.Small]
BitDefender [Exploit.Win32.WMF-PFV.A]
CAT-QuickHeal [WMF.Exploit]
ClamAV [Exploit.WMF.A]
DrWeb [Exploit.MS05-053]
eTrust-Iris [Win32/Worfo.B!Trojan]
eTrust-Vet [Win32/Worfo]
Ewido [Not-A-Virus.Exploit.Win32.Agent.r]
Fortinet [W32/WMF-exploit]
F-Prot [security risk or a "backdoor" program]
Kaspersky [Trojan-Downloader.Win32.Agent.acd]
McAfee [Exploit-WMF]
NOD32v2 [Win32/TrojanDownloader.Wmfex]
Panda [Exploit/Metafile]
Sophos [Troj/DownLdr-LW]
Symantec [Download.Trojan]
TheHacker [Exploit/WMF]

Otra medida de mitigación, aunque evidentemente no es mencionada en el aviso de Microsoft, es utiliza un navegador diferente a Internet Explorer, como Firefox u Opera, que no procesan automáticamente los archivos WMF y requieren la intervención del usuario para abrirlos.

Por último, esperar que Microsoft acelere, en la medida de lo posible, la publicación del parche correspondiente, sin necesidad de esperar al segundo martes del mes que viene según su política de publicación periódica, ya que sin duda se trata de un caso excepcional: la vulnerabilidad es crítica, está siendo explotada de forma activa, y el número de ataques/variantes aumenta progresivamente.

Fuente: http://www.hispasec.com/

Mas información: 

Microsoft Windows Graphics Rendering Engine WMF Format Unspecified Code Execution Vulnerability
http://www.securityfocus.com/bid/16074/info

Windows WMF 0-day exploit in the wild (NEW) http://isc.sans.org/diary.php?storyid=972

You must be logged in to post a comment.

Buscar: