Jump to content
teodio

Grave vulnerabilidad en Windows Metafiles (WMF)

Recommended Posts

http://www.hispasec.com/unaaldia/2622

 

http://www.securityfocus.com/bid/16074/info

 

http://isc.sans.org/diary.php?storyid=972

 

Parece ser que no es moco de pavo navideño, que digamos. ¡Ah!, y parece que afecta a usuarios de varias versiones de Windows, tanto con Explorer como con, parece ser, Firefox, según dicen en el último enlace.

Edited by teodio

Share this post


Link to post
Share on other sites

Esto no es actualidad mac; pero ¡Joer! Navegando por ahí con la pecera, ayer me ha tocado webs que pretendían ofrecerme descargar un .WMF; eso me pareció altamente sospechoso asi que lo bloqueé :o (Iba con Opera). Ahora sé porqué aparecía esa extraña descarga...

 

Acá hay información que complementa más el tema:

http://www.vsantivirus.com/28-12-05.htm

Edited by Polímero

Share this post


Link to post
Share on other sites

Está claro que no es Actualidad Mac. Lo he puesto aquí porque he pensado que puede ser una noticia de actualidad para usuarios de Mac que tengan ordenadores con Windows, o para administradores de sistemas. De todas maneras, digo yo que los moderadores decidirán si tiene que estar aquí o no, y borrarán la noticia o la trasladarán a otra parte si lo creen conveniente.

Edited by teodio

Share this post


Link to post
Share on other sites
Está claro que no es Actualidad Mac. Lo he puesto aquí porque he pensado que puede ser una noticia de actualidad para usuarios de Mac que tengan ordenadores con Windows, o para administradores de sistemas. De todas maneras, digo yo que los moderadores decidirán si tiene que estar aquí o no, y borrarán la noticia o la trasladarán a otra parte si lo creen conveniente.

 

Por eso mismo se agradece, como mencioné había detectado aquello de los WMF y ahora ya sé que es otro bicharraco nacido a expensas del SO de MS... :ph34r:

Share this post


Link to post
Share on other sites

Es noticia fresca, tiene interés para los macuarianos, es del mundo de la informática..... luego es Actualidad Mac. :)

Share this post


Link to post
Share on other sites

cagüen windows..... anda q reymidas te has puesto las botas a poner candados, eh? ostras!! lo mismo son los candados de la pecera :P

Share this post


Link to post
Share on other sites

Muchas gracias por avisar teodio :o Yo uso windows en casa <_<

Share this post


Link to post
Share on other sites
cagüen windows..... anda q reymidas te has puesto las botas a poner candados, eh? ostras!! lo mismo son los candados de la pecera :P

 

Jaja, me he despachado a gusto. :lol:

 

Ya tenía yo ganas de ver la primera página de Actualidad llena de candados. :lol: :lol:

Share this post


Link to post
Share on other sites
cagüen windows..... anda q reymidas te has puesto las botas a poner candados, eh? ostras!! lo mismo son los candados de la pecera :P

 

Jaja, me he despachado a gusto. :lol:

 

Ya tenía yo ganas de ver la primera página de Actualidad llena de candados. :lol: :lol:

 

I es q es el sueño de cualkier moderador.... volverse perverso, cerrar todos los temas y que no hanle nadie :P

 

PD: como os veo despistadetes os recuerdon que quedan 12 dias y 7 horas para la keynote :D

Share this post


Link to post
Share on other sites

Se ha detectado un fallo de seguridad gravísimo que afecta a todas las versiones de Windows (NO a Mac OS X, ni a Linux, a BSD o a ningún otro sistema operativo).

 

Es especialmente grave, porque es de los que se denominan "día 0", es decir, que se está explotando YA antes de que Microsoft publique un parche.

 

Los de SANS han publicado una FAQ en inglés. Yo les acabo de enviar una traducción a español, pero no se si la colocarán, ni cuándo. La incluyo más abajo.

 

Por lo demás, el tema es muy grave, los posibles vectores de ataque muy numerosos, y la fuente de información (SANS) es muy fiable. Algunos de los principales profesionales de la seguridad son miembros de SANS.

 

 

 

FAQ del fallo de seguridad de WMF

 

- ¿Por qué es tan importante este problema?

 

Esta vulnerabilidad utiliza imágenes (archivos WMF) para ejecutar código arbitrario. Se ejecutará simplemente por visualizar la imagen. No es necesario "pinchar" nada ni aceptar. Incluso las imágenes almacenadas en el disco del usuario pueden ser peligrosas si se las referencia desde algún programa de búsqueda o índice del contenido del disco. Al examinar un directorio de imágenes con la vista previa de las mismas en forma de iconos también se puede explotar la vulnerabilidad.

 

- ¿Qué es mejor utilizar? ¿Firefox o Explorer?

 

Internet Explorer puede mostrar la imagen y, por tanto, activar el código sin previo aviso. Las nuevas versiones de Firefox preguntarán al usuario antes de abrir la imagen. Sin embargo, en la mayor parte de los entornos esto ofrece una protección muy limitada ya que se trata de imágenes y en general se consideran inofensivas.

 

- ¿A qué versiones de Windows afecta?

 

A todas. Windows 2000, Windows XP (SP1 y SP2), y Windows 2003. Todos están afectados de alguna manera. Mac OS X, Unix o BSD no se ven afectados.

 

Nota: Si usted está utilizando aún Windows 98 ó ME, es un mal momento. Creemos (no ha sido probado completamente) que también son vulnerables y no habrá parche de Microsoft. Las opciones para protegerse son, por tanto, muy limitadas. Necesita actualizar lo antes posible.

 

- ¿Qué puedo hacer para protegerme?

 

1. Microsoft no ha publicado un parche aún. Ilfak Guilfanov distribye un parche extraoficial. Tom Liston, miembro de nuestro equipo, examinó el parche y nosotros lo hemos comprobado. La versión revisada y comprobada está disponible en .... (URL)....

 

2. Puede eliminar la DLL afectada

 

3. Los antivirus pueden proporcionar una protección limitada

 

Para desactivar la DLL:

 

- Pinche "Inicio", "Ejecutar", y teclee "regsvr32 -u %windir%\system32\shimgvw.dll" (sin las comillas). Después, "aceptar".

 

- Aparecerá una ventana indicando que la desactivación ha tenido éxito. Pinche "aceptar" para cerrarla.

 

****NUESTRA RECOMENDACIÓN OFICIAL ES QUE POR EL MOMENTO HAGA _AMBAS_ COSAS. ELIMINE LA DLL Y UTILICE EL PARCHE EXTRAOFICIAL****

 

 

- ¿Cómo funciona el parche extraoficial?

 

La librería wmfhotfix.dll se añade a cualquier proceso que cargue user32.dll. La DLL entonces modifica (en memoria), la función Escape() de gdi32.dll de manera que ésta ignore cualquier llamada que utilice el parámetro SETABORTPROC (es decir, 0x90). Esto debería permitir a los programas en Windows visualizar imágenes WMF correctamente, pero bloqueando la vulnerabilidad. La versión del parche disponible aquí (URL) ha sido cuidadosamente revisada y comprobada con todas las versiones conocidas de los programas que explotan la vulnerabilidad. Debería funcionar en Windows XP (SP1 y SP2) y Windows 2000.

 

- ¿Me protegerá el desactivar la DLL (sin utilizar el parche)?

 

Podría ayudar, pero no es infalible. Queremos dejarlo muy claro. Tenemos algunos indicios muy fiables de que simplemente desactivar shimgvw.dll no siempre es suficiente. Puede ser reactivada por algún programa malicioso simplemente por la instalación de algún programa, y podrían darse casos de reactivación de la dll en sistemas en funcionamiento que se han visto afectados, haciendo que el ataque tuviera éxito. Además, puede que existan otras vías de ataque contra la función Escape() de gdi32.dll. Hasta que haya un parche de Microsoft disponible, recomendamos utilizar el extraoficial además de desactivar shimgvw.dll.

 

- ¿Debería simplemente borrar la DLL?

 

Podría no ser mala idea, pero la protección de archivos de Microsoft probablemente la reemplazará. Debería desactivar la función de protección de archivos primero. Además, cuando el parche definitivo esté disponible necesitará reemplazar la DLL. Renombrarla, en lugar de borrarla, es probablemente una opción mejor, de manera que siga disponible para cuando se instale el parche.

 

- ¿Debería simplemente bloquear los archivos WMF?

 

Podría ayudar, pero no es suficiente. Los archivos WMF se identifican por una cabecera especial y no se necesita la extensión. Los archivos podrían llegar con una extensión diferente, sin extensión, o incluso embebidos en documentos Word o de otro tipo.

 

- ¿Qué es DEP (Protección contra ejecución de datos) y cómo puede ayudarme?

 

Con Windows XP SP2, Microsoft presentó DEP. Protege contra una amplia gama de ataques, evitando que se puedan ejecutar programas desde "segmentos de datos". Sin embargo, para funcionar necesita soporte por parte del hardware. Algunos procesadores, como los de 64 bit de AMD, proporcionan protección DEP completa y evitarán el ataque.

 

- ¿Cómo son de eficaces los antivirus para detectar el ataque?

 

En este momento estamos al corriente de que existen versiones del ataque que no detectan los antivirus, aunque esperamos que los fabricantes se pondrán al día rápidamente. Sin embargo, puede ser una dura batalla. Sistemas antivirus actualizados son necesarios pero es probable que no sean suficientes.

 

- ¿Cómo podría entrar en mi sistema un archivo WMF malicioso?

 

Hay demasiadas vías como para mencionarlas todas. Archivos adjuntos de correo electrónico, páginas web y mensajería instantánea son las fuentes más probables. No olvide además las redes P2P y otras fuentes.

 

- ¿Es suficiente con advertir a mis usuarios para que no visiten páginas web que no sean de confianza?

 

No. Ayuda pero no es en absoluto suficiente. Hemos visto al menos un web de confianza comprometido (knoppix-std.org). Como parte del ataque se añadió un "frame" que redirigía a los usuarios a un archivo WMF corrompido. Se han utilizado sitios web "de confianza" de formas similares en el pasado.

 

- ¿Cuál es en realidad el problema con los archivos WMF?

 

Los archivos WMF son algo diferentes de otros formatos de imagen. En lugar de contener simplemente pixels y colores los archivos WMF pueden llamar a subprogramas externos. Una de esas llamadas puede utilizarse para ejecutar código.

 

- ¿Debería usar algo similar a "dropmyrights" para reducir el impacto de la vulnerabilidad?

 

Definitivamente, sí. Además, evite trabajar como administrador para el trabajo del día a día. Sin embargo, esto solamente reducirá el impacto de la vulnerabilidad y no evitará que se pueda explotar. Además, visitar una página web es solamente una de las formas posibles de activar el ataque. Si la imagen queda almacenada en su sistema y posteriormente es visualizada por un administrador, podría verse afectado.

 

- ¿Son vulnerables mis servidores?

 

Quizás. ¿Permite que se almacenen imágenes? ¿Correo electrónico? ¿Se generan índices de esas imágenes? ¿Utiliza en ocasiones un navegador web para acceder al servidor? En resumen: si alguien puede copiar una imagen a su servidor, y alguna DLL la examina, su servidor puede muy bien ser vulnerable.

 

- ¿Qué puedo hacer en el perímetro para proteger mi red?

 

No mucho. ¿Un proxy que elimine todas las imágenes de las páginas web? Probablemente no siente muy bien a sus usuarios. Al menos bloquee las imágenes .WMF (lea más arriba sobre las extensiones). Si su proxy tiene algún tipo de antivirus, podría proteger algo. Lo mismo se aplica a los servidores de correo. Cuanto más limite la capacidad de sus usuarios para conectarse al exterior, mejor. Una monitorización cuidadosa de las estaciones de trabajo de los usuarios puede ayudar a obtener indicios de que una estación está comprometida.

 

- ¿Puedo utilizar un IDS (detector de intrusos) para detectar el ataque?

 

Casi todos los fabricantes de IDSs están trabajando en las firmas. Póngase en contacto con el suyo para conocer los detalles. bleedingsnort.org está actualizando algunas firmas de forma permanente para usuarios de Snort.

 

- Si me veo afectado, ¿qué puedo hacer?

 

No mucho :-(. Depende mucho de la versión exacta del ataque que le haya afectado. La mayor parte de ellas descargarán componentes adicionales. Puede ser muy difícil, incluso imposible, encontrar todos los componentes. Microsoft ofrece un soporte gratuito para casos como éste en el número 1-866-727-2389.

 

- ¿Ha dicho algo Microsoft al respecto?

 

http://www.microsoft.com/technet/security/...ory/912840.mspx (en inglés) pero no hay aún un parche disponible.

 

- ¿Qué ha publicado el CERT?

 

(en inglés)

http://www.kb.cert.org/vuls/id/181038

http://www.cve.mitre.org/cgi-bin/cvename.c...e=CVE-2005-4560

Share this post


Link to post
Share on other sites

Pues si, despiste. Cosas de haber estado pelín "offline" estos días :blush:

Share this post


Link to post
Share on other sites

De todos modos has hecho un excelente resumen. Si los modereitors de la Pecera me envían el tema a Actualidad lo uniré con el otro hilo. :)

Share this post


Link to post
Share on other sites

Ojo, el autor no soy yo, sino los colegas de SANS :)

 

Me he limitado a traducirlo a toda velocidad.

 

Veo que ya han puesto el enlace en la FAQ del Internet Storm Center.

Share this post


Link to post
Share on other sites

pues como esperemos a que microsoft saque el parche oficial, podemos tirarnos meses... es mas seguro borrar uno mismo las dlls creo yo... <_<

o instalar parches no oficiales de microsoft (que los hay)

Share this post


Link to post
Share on other sites

He puesto en otro tema (despiste) una traducción de la FAQ de SANS sobre el tema. Ya lo han movido aquí, así que en cuanto pueda algún moderador de Actualidad lo unirá a este tema.

 

Lo ideal es instalar el parche extraoficial (la gente de SANS lo ha probado y funciona) _y_ desactivar la DLL siguiendo las instrucciones contenidas en la FAQ.

Share this post


Link to post
Share on other sites

Pues Bajado e Instaldo el parche ( no oficial) de la web de SANS en mi AMD64.

 

Por lo visto el parche protege pero limita ciertas cosas, es decir es un especie de apaño.

 

Este fallo es del SSOO, no de un navegador, por tanto cualquier navegador, programa , etc etc que funcioen bajo windows es vulnerable.

 

Me alegro de tener un iBook, por lo menso se que ki portatil esta absolutamente a salvo :D

 

Es recomedable que metais ese aprche que esta en al web de SANS, en todos los equipos q tengais, por lo menso hasta que salga una solucion definitiva por parte de MS.

 

Un saludo.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.