Microsoft confirma la vulnerabilidad al procesar .WMF
Fuente: http://www.hispasec.com/unaaldia/2623
Microsoft publica un aviso de seguridad donde confirma la existencia de una nueva vulnerabilidad en Windows, para la que aun no existe parche, y que está siendo aprovechada para infectar los sistemas automáticamente al visitar determinadas páginas webs.
Tal y como comentábamos en el una-al-día de ayer, están proliferando los sitios webs que contienen archivos Windows MetaFile (WMF) especialmente diseñados para explotar un desbordamiento de buffer en la biblioteca que procesa, entre otros, los archivos de imágenes WMF.
Microsoft amplía el número de sistemas afectados por la vulnerabilidad a prácticamente la mayoría de versiones Windows, según su aviso entre el software afectado se encuentra Windows 98, Windows 98SE, Windows ME, Windows 2000 SP4, Windows XP SP1, Windows XP SP2, Windows XP x64 Edition, Windows 2003 y Windows 2003 SP1 en sus versiones Itanium y x64.
En el apartado de prevención, se recomienda no visitar enlaces no confiables que nos lleguen a través del correo electrónico, IRC, mensajería instantánea, foros web, grupos de noticias, etc. que podrían ser un cebo para que visitemos las páginas que contienen los archivos WMF maliciosos.
Otro consejo genérico, que además puede prevenir de otro tipo de ataques, como el phishing, pasa por configurar nuestro cliente de correo para leer los mensajes sin formato, sólo en modo texto.
Adicionalmente, como medida de mitigación a la espera del parche específico que corrija esta vulnerabilidad, Microsoft ha documentado como puede desactivarse la biblioteca Shimgvw.dll utilizada por el Visor de imágenes y Fax de Windows, y que está siendo aprovechada por los archivos WMF maliciosos conocidos hasta la fecha.
Los pasos son los siguientes:
* Desde el menú Inicio, seleccionar Ejecutar, y teclear (sin las
comillas): "regsvr32 -u %windir%\system32\shimgvw.dll"
* Aparecerá una ventana informando de que la operación se ha realizado con éxito. Aceptamos.
Como efecto colateral a esta medida de mitigación, el Visor de Imágenes y Fax de Windows no funcionará cuando intentemos abrir directamente un archivo asociado a esta aplicación, ni podremos previsualizar los archivos WMF en Explorer.
Cuando Microsoft publique e instalemos el parche para corregir la vulnerabilidad podremos reestablecer la funcionalidad de esta aplicación con los mismos pasos descritos anteriormente, pero ejecutando en esta ocasión el comando (sin las comillas) "regsvr32 %windir%\system32\shimgvw.dll"
Desde Hispasec también debemos indicar que la mayoría de soluciones antivirus están incorporando firmas para proteger a sus usuarios contra los archivos WMF maliciosos, aunque la proliferación de variantes es continua.
Otra medida de mitigación, aunque evidentemente no es mencionada en el aviso de Microsoft, es utiliza un navegador diferente a Internet Explorer, como Firefox u Opera, que no procesan automáticamente los archivos WMF y requieren la intervención del usuario para abrirlos.
Por último, esperar que Microsoft acelere, en la medida de lo posible, la publicación del parche correspondiente, sin necesidad de esperar al segundo martes del mes que viene según su política de publicación periódica, ya que sin duda se trata de un caso excepcional: la vulnerabilidad es crítica, está siendo explotada de forma activa, y el número de ataques/variantes aumenta progresivamente.
Más información:
Microsoft Security Advisory (912840)
Vulnerability in Graphics Rendering Engine Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/912840.mspx
Microsoft Windows Metafile Handling Buffer Overflow
http://www.us-cert.gov/cas/techalerts/TA05-362A.html
28/12/2005 - Vulnerabilidad en tratamiento de archivos WMF de Windows
http://www.hispasec.com/unaaldia/2622
Bernardo Quintero
[email protected]
Microsoft publica un aviso de seguridad donde confirma la existencia de una nueva vulnerabilidad en Windows, para la que aun no existe parche, y que está siendo aprovechada para infectar los sistemas automáticamente al visitar determinadas páginas webs.
Tal y como comentábamos en el una-al-día de ayer, están proliferando los sitios webs que contienen archivos Windows MetaFile (WMF) especialmente diseñados para explotar un desbordamiento de buffer en la biblioteca que procesa, entre otros, los archivos de imágenes WMF.
Microsoft amplía el número de sistemas afectados por la vulnerabilidad a prácticamente la mayoría de versiones Windows, según su aviso entre el software afectado se encuentra Windows 98, Windows 98SE, Windows ME, Windows 2000 SP4, Windows XP SP1, Windows XP SP2, Windows XP x64 Edition, Windows 2003 y Windows 2003 SP1 en sus versiones Itanium y x64.
En el apartado de prevención, se recomienda no visitar enlaces no confiables que nos lleguen a través del correo electrónico, IRC, mensajería instantánea, foros web, grupos de noticias, etc. que podrían ser un cebo para que visitemos las páginas que contienen los archivos WMF maliciosos.
Otro consejo genérico, que además puede prevenir de otro tipo de ataques, como el phishing, pasa por configurar nuestro cliente de correo para leer los mensajes sin formato, sólo en modo texto.
Adicionalmente, como medida de mitigación a la espera del parche específico que corrija esta vulnerabilidad, Microsoft ha documentado como puede desactivarse la biblioteca Shimgvw.dll utilizada por el Visor de imágenes y Fax de Windows, y que está siendo aprovechada por los archivos WMF maliciosos conocidos hasta la fecha.
Los pasos son los siguientes:
* Desde el menú Inicio, seleccionar Ejecutar, y teclear (sin las
comillas): "regsvr32 -u %windir%\system32\shimgvw.dll"
* Aparecerá una ventana informando de que la operación se ha realizado con éxito. Aceptamos.
Como efecto colateral a esta medida de mitigación, el Visor de Imágenes y Fax de Windows no funcionará cuando intentemos abrir directamente un archivo asociado a esta aplicación, ni podremos previsualizar los archivos WMF en Explorer.
Cuando Microsoft publique e instalemos el parche para corregir la vulnerabilidad podremos reestablecer la funcionalidad de esta aplicación con los mismos pasos descritos anteriormente, pero ejecutando en esta ocasión el comando (sin las comillas) "regsvr32 %windir%\system32\shimgvw.dll"
Desde Hispasec también debemos indicar que la mayoría de soluciones antivirus están incorporando firmas para proteger a sus usuarios contra los archivos WMF maliciosos, aunque la proliferación de variantes es continua.
Otra medida de mitigación, aunque evidentemente no es mencionada en el aviso de Microsoft, es utiliza un navegador diferente a Internet Explorer, como Firefox u Opera, que no procesan automáticamente los archivos WMF y requieren la intervención del usuario para abrirlos.
Por último, esperar que Microsoft acelere, en la medida de lo posible, la publicación del parche correspondiente, sin necesidad de esperar al segundo martes del mes que viene según su política de publicación periódica, ya que sin duda se trata de un caso excepcional: la vulnerabilidad es crítica, está siendo explotada de forma activa, y el número de ataques/variantes aumenta progresivamente.
Más información:
Microsoft Security Advisory (912840)
Vulnerability in Graphics Rendering Engine Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/912840.mspx
Microsoft Windows Metafile Handling Buffer Overflow
http://www.us-cert.gov/cas/techalerts/TA05-362A.html
28/12/2005 - Vulnerabilidad en tratamiento de archivos WMF de Windows
http://www.hispasec.com/unaaldia/2622
Bernardo Quintero
[email protected]
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!