Nuevas consideraciones sobre la vulnerabilidad de proceso de WMFs
Fuente: http://www.hispasec.com/unaaldia/2624
La criticidad de los problemas de seguridad es siempre proporcional al alcance y peligrosidad de los mismos. Especialmente notorio en este campo, sin menospreciar la importante seguridad doméstica, es la seguridad de las corporaciones. Cuando lo que se pone en peligro es una posible ruptura de la continuidad de un negocio, los problemas de seguridad se convierten en problemas organizativos extremadamente críticos.
Según la información aparecida en el NIST, John Herron ha descubierto que todas las versiones 6.x y superiores de Lotus Notes son vulnerables al exploit de gestión de archivos de metadatos WMF recientemente aparecido. Es preciso informar que Lotus Notes es vulnerable incluso después de aplicar el "workaround" sobre regsvr32, en ausencia de parches, en el boletín de Microsoft (912840), lo que convierte a una vulnerabilidad ya de por sí extremadamente crítica en poco más o menos que dramática.
Lotus Notes es un software colaborativo cliente-servidor, muy popular en entornos corporativos, propiedad de Lotus Software, perteneciente al grupo de IBM Software.
En ausencia de parches, la recomendación que podemos transmitir a los responsables de IT y seguridad de las corporaciones que empleen Lotus Notes son filtrar en el perímetro las extensiones comunes asociadas a formatos gráficos, como BMP, DIB, EMF, GIF, ICO, JFIF, JPE, JPEG, JPG, PNG, RLE, TIF, TIFF y WMF, ya que las plataformas Microsoft Windows manejan estos ficheros no por la extensión que se emplee, sino por la información que exista en la cabecera de datos.
Por supuesto, es una recomendación igualmente válida es no abrir ni visualizar documentos gráficos procedentes de fuentes no fiables, a la espera de la puesta a disposición del público afectado de las pertinentes contramedidas. IBM está al corriente del problema, y se espera libere un boletín específico en las próximas horas, con lo que recomendamos a los usuarios de Lotus Domino contacten a la mayor brevedad posible con sus servicios técnicos y/o de atención al cliente para recibir la información más actualizada posible, habida cuenta del elevado riesgo de la problemática descrita.
Microsoft ha procedido a actualizar el boletín emitido en la jornada de ayer. Lo más relevante en esta actualización es que están centrando la investigación en la utilización de ficheros especialmente creados para ser explotados por Internet Explorer, y que no tienen constancia de actividad de explotación de ficheros maliciosos .WMF incrustados en documentos, como por ejemplo, en documentos Word.
De momento la compañía tampoco confirma que MSN Desktop Search pueda facilitar la explotación de la vulnerabilidad, tal y como sucede con Google Desktop, si bien van a investigar el caso con profundidad. Del mismo modo, confirman oficialmente que esta vulnerabilidad y la aparecida en Noviembre "MS05-053 - Vulnerabilities in Graphics Rendering Engine Could Allow Code Execution (896424)" son dos vulnerabilidades distintas, e invitan a los usuarios de sistemas de detección de intrusos a que contacten con susproveedores IDS, para ver cómo pueden cooperar estos mecanismos en la reducción a la exposición de esta hornada de malware.
Sobre IDS, han aparecido firmas específicas para SNORT, que pueden ser introducidas a mano por los administradores del IDS para añadir un grado de protección.
Como nota anecdótica, los usuarios del Internet Storm Center de SANS están respondiendo a una encuesta sobre qué acciones están tomando para tratar de evitar los efectos colaterales del exploit. Los resultados, por el momento, sobre un universo cercano a 1000 votantes, son estos:
26 % => Usar un antivirus actualizado
5 % => Activar DEP (Data Execution Prevention)
13 % => Formar a usuarios para evitar enlaces sospechosos
19 % => Filtrado de ficheros .WMF en el perímetro
3 % => Usar políticas de restricción inherentes al software de Microsoft
o equivalentes
24 % => Usar Sistemas Operativos no afectados por la vulnerabilidad
11 % => Otras medidas
Más información:
Lotus Notes vulnerable to MS Windows graphics rendering engine bug
http://www.nist.org/nist_plugins/content/content.php?content.25
Lotus Notes Vulnerable to WMF 0-Day Exploit
http://isc.sans.org/diary.php?rss&storyid=981
Vulnerability in Graphics Rendering Engine Could Allow Remote Code Execution. (Actualizado)
http://www.microsoft.com/technet/security/advisory/912840.mspx
Microsoft confirma la vulnerabilidad al procesar .WMF
http://www.hispasec.com/unaaldia/2623
Vulnerabilidad en tratamiento de archivos WMF de Windows
http://www.hispasec.com/unaaldia/2622
Sergio Hernando
[email protected]
La criticidad de los problemas de seguridad es siempre proporcional al alcance y peligrosidad de los mismos. Especialmente notorio en este campo, sin menospreciar la importante seguridad doméstica, es la seguridad de las corporaciones. Cuando lo que se pone en peligro es una posible ruptura de la continuidad de un negocio, los problemas de seguridad se convierten en problemas organizativos extremadamente críticos.
Según la información aparecida en el NIST, John Herron ha descubierto que todas las versiones 6.x y superiores de Lotus Notes son vulnerables al exploit de gestión de archivos de metadatos WMF recientemente aparecido. Es preciso informar que Lotus Notes es vulnerable incluso después de aplicar el "workaround" sobre regsvr32, en ausencia de parches, en el boletín de Microsoft (912840), lo que convierte a una vulnerabilidad ya de por sí extremadamente crítica en poco más o menos que dramática.
Lotus Notes es un software colaborativo cliente-servidor, muy popular en entornos corporativos, propiedad de Lotus Software, perteneciente al grupo de IBM Software.
En ausencia de parches, la recomendación que podemos transmitir a los responsables de IT y seguridad de las corporaciones que empleen Lotus Notes son filtrar en el perímetro las extensiones comunes asociadas a formatos gráficos, como BMP, DIB, EMF, GIF, ICO, JFIF, JPE, JPEG, JPG, PNG, RLE, TIF, TIFF y WMF, ya que las plataformas Microsoft Windows manejan estos ficheros no por la extensión que se emplee, sino por la información que exista en la cabecera de datos.
Por supuesto, es una recomendación igualmente válida es no abrir ni visualizar documentos gráficos procedentes de fuentes no fiables, a la espera de la puesta a disposición del público afectado de las pertinentes contramedidas. IBM está al corriente del problema, y se espera libere un boletín específico en las próximas horas, con lo que recomendamos a los usuarios de Lotus Domino contacten a la mayor brevedad posible con sus servicios técnicos y/o de atención al cliente para recibir la información más actualizada posible, habida cuenta del elevado riesgo de la problemática descrita.
Microsoft ha procedido a actualizar el boletín emitido en la jornada de ayer. Lo más relevante en esta actualización es que están centrando la investigación en la utilización de ficheros especialmente creados para ser explotados por Internet Explorer, y que no tienen constancia de actividad de explotación de ficheros maliciosos .WMF incrustados en documentos, como por ejemplo, en documentos Word.
De momento la compañía tampoco confirma que MSN Desktop Search pueda facilitar la explotación de la vulnerabilidad, tal y como sucede con Google Desktop, si bien van a investigar el caso con profundidad. Del mismo modo, confirman oficialmente que esta vulnerabilidad y la aparecida en Noviembre "MS05-053 - Vulnerabilities in Graphics Rendering Engine Could Allow Code Execution (896424)" son dos vulnerabilidades distintas, e invitan a los usuarios de sistemas de detección de intrusos a que contacten con susproveedores IDS, para ver cómo pueden cooperar estos mecanismos en la reducción a la exposición de esta hornada de malware.
Sobre IDS, han aparecido firmas específicas para SNORT, que pueden ser introducidas a mano por los administradores del IDS para añadir un grado de protección.
Como nota anecdótica, los usuarios del Internet Storm Center de SANS están respondiendo a una encuesta sobre qué acciones están tomando para tratar de evitar los efectos colaterales del exploit. Los resultados, por el momento, sobre un universo cercano a 1000 votantes, son estos:
26 % => Usar un antivirus actualizado
5 % => Activar DEP (Data Execution Prevention)
13 % => Formar a usuarios para evitar enlaces sospechosos
19 % => Filtrado de ficheros .WMF en el perímetro
3 % => Usar políticas de restricción inherentes al software de Microsoft
o equivalentes
24 % => Usar Sistemas Operativos no afectados por la vulnerabilidad
11 % => Otras medidas
Más información:
Lotus Notes vulnerable to MS Windows graphics rendering engine bug
http://www.nist.org/nist_plugins/content/content.php?content.25
Lotus Notes Vulnerable to WMF 0-Day Exploit
http://isc.sans.org/diary.php?rss&storyid=981
Vulnerability in Graphics Rendering Engine Could Allow Remote Code Execution. (Actualizado)
http://www.microsoft.com/technet/security/advisory/912840.mspx
Microsoft confirma la vulnerabilidad al procesar .WMF
http://www.hispasec.com/unaaldia/2623
Vulnerabilidad en tratamiento de archivos WMF de Windows
http://www.hispasec.com/unaaldia/2622
Sergio Hernando
[email protected]
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!