Análisis de la vulnerabilidad en ficheros ANI de Microsoft
Hispasec publica un documento técnico que analiza la vulnerabilidad en ficheros ANI. El error en la carga de punteros animados ha provocado una oleada de malware que aprovecha la vulnerabilidad, y Microsoft se ha visto obligada a publicar un parche fuera de su ciclo habitual de los segundos martes de cada mes.
En Hispasec, hemos analizado en un documento técnico (white paper) las
causas de la vulnerabilidad de punteros animados y cómo la aprovecha el
malware para conseguir la ejecución de código. Además, en el documento
que hemos creado, se puede observar el número de muestras víricas
recibidas en VirusTotal que intentan aprovechar la vulnerabilidad. En 14
días, se han recibido más de mil muestras únicas (según hash MD5). Esto
implica una media de tres nuevas muestras (o variantes) creadas cada
hora durante las últimas dos semanas. Esta cifra solo incluye lo
recibido en VirusTotal, sin duda el número real que circula en Internet
es mucho mayor.
Además, hemos preparado una prueba de concepto que aprovecha la
vulnerabilidad y permite la descarga y ejecución de código con sólo
visitar una página web. El archivo de prueba que hemos preparado se
descarga en el "documents and settings" del usuario, con nombres
aleatorios compuestos por una sola letra (con el formato X.exe). El
programa descargado es una aplicación inofensiva alojada en nuestros
servidores, que simula que la pantalla se derrite. Cuando se cierra esta
aplicación, el proceso explorer.exe puede ser reiniciado, sin causar
perjuicio alguno en el sistema. Después de realizar la prueba, si se es
vulnerable, se recomienda borrar el archivo descargado (situado
habitualmente en c:\documents and settings\usuario). Algunos antivirus
detectarán la página que aprovecha la vulnerabilidad como troyano, y el
programa como "joke", o broma, pero insistimos en lo inocuo de la prueba
de concepto y el programa.
Si se es vulnerable y el programa llega a ejecutarse, se recomienda
encarecidamente actualizar el sistema con el boletín MS07-017 desde
Windows Update o directamente desde la URL
http://www.microsoft.com/technet/security/Bulletin/MS07-017.mspx
Con esta prueba de concepto, se pretende demostrar lo grave de la
vulnerabilidad. En lugar de una aplicación inofensiva, que insistimos
algunos antivirus pueden detectar como "joke" (broma), un atacante
podría utilizar una página web, o un mensaje con formato HTML, para
distribuir virus, gusanos o troyanos que infectarían de forma automática
y transparente al usuario. Teniendo en cuenta los datos recibidos en
VirusTotal, la vulnerabilidad a día de hoy sigue siendo aprovechada por
una gran cantidad de malware que circula por la red y no todos los
antivirus son capaces de detectar todas las muestras creadas. La
solución más práctica pasa por actualizar el sistema con los últimos
parches.
Los enlaces directos a la descarga de los documentos (en castellano e
inglés) son:
http://www.hispasec.com/laboratorio/vulnerabilidad_ani.pdf
http://www.hispasec.com/laboratorio/vulnerabilidad_ani_en.pdf
La prueba de concepto está alojada en: (ATENCIÓN: Si se visita con
Microsoft Windows e Internet Explorer sin el parche MS07-017, descargará
y ejecutará una aplicación que simula que la pantalla se derrite. Es
posible que después de esto el proceso explorer.exe se reinicie):
http://blog.hispasec.com/laboratorio/recursos/ani/exploit.html
Para aquellos lectores que ya hayan actualizado su sistema y no sean
vulnerables, pueden visualizar un vídeo en el que se muestra el efecto
del exploit en:
http://www.hispasec.com/laboratorio/video_ani.htm
Más información:
Microsoft Security Bulletin MS07-017
Vulnerabilities in GDI Could Allow Remote Code Execution (925902)
http://www.microsoft.com/technet/security/Bulletin/MS07-017.mspx
Sergio de los Santos
[email protected]
Fuente: http://www.hispasec.com/unaaldia/3090/
En Hispasec, hemos analizado en un documento técnico (white paper) las
causas de la vulnerabilidad de punteros animados y cómo la aprovecha el
malware para conseguir la ejecución de código. Además, en el documento
que hemos creado, se puede observar el número de muestras víricas
recibidas en VirusTotal que intentan aprovechar la vulnerabilidad. En 14
días, se han recibido más de mil muestras únicas (según hash MD5). Esto
implica una media de tres nuevas muestras (o variantes) creadas cada
hora durante las últimas dos semanas. Esta cifra solo incluye lo
recibido en VirusTotal, sin duda el número real que circula en Internet
es mucho mayor.
Además, hemos preparado una prueba de concepto que aprovecha la
vulnerabilidad y permite la descarga y ejecución de código con sólo
visitar una página web. El archivo de prueba que hemos preparado se
descarga en el "documents and settings" del usuario, con nombres
aleatorios compuestos por una sola letra (con el formato X.exe). El
programa descargado es una aplicación inofensiva alojada en nuestros
servidores, que simula que la pantalla se derrite. Cuando se cierra esta
aplicación, el proceso explorer.exe puede ser reiniciado, sin causar
perjuicio alguno en el sistema. Después de realizar la prueba, si se es
vulnerable, se recomienda borrar el archivo descargado (situado
habitualmente en c:\documents and settings\usuario). Algunos antivirus
detectarán la página que aprovecha la vulnerabilidad como troyano, y el
programa como "joke", o broma, pero insistimos en lo inocuo de la prueba
de concepto y el programa.
Si se es vulnerable y el programa llega a ejecutarse, se recomienda
encarecidamente actualizar el sistema con el boletín MS07-017 desde
Windows Update o directamente desde la URL
http://www.microsoft.com/technet/security/Bulletin/MS07-017.mspx
Con esta prueba de concepto, se pretende demostrar lo grave de la
vulnerabilidad. En lugar de una aplicación inofensiva, que insistimos
algunos antivirus pueden detectar como "joke" (broma), un atacante
podría utilizar una página web, o un mensaje con formato HTML, para
distribuir virus, gusanos o troyanos que infectarían de forma automática
y transparente al usuario. Teniendo en cuenta los datos recibidos en
VirusTotal, la vulnerabilidad a día de hoy sigue siendo aprovechada por
una gran cantidad de malware que circula por la red y no todos los
antivirus son capaces de detectar todas las muestras creadas. La
solución más práctica pasa por actualizar el sistema con los últimos
parches.
Los enlaces directos a la descarga de los documentos (en castellano e
inglés) son:
http://www.hispasec.com/laboratorio/vulnerabilidad_ani.pdf
http://www.hispasec.com/laboratorio/vulnerabilidad_ani_en.pdf
La prueba de concepto está alojada en: (ATENCIÓN: Si se visita con
Microsoft Windows e Internet Explorer sin el parche MS07-017, descargará
y ejecutará una aplicación que simula que la pantalla se derrite. Es
posible que después de esto el proceso explorer.exe se reinicie):
http://blog.hispasec.com/laboratorio/recursos/ani/exploit.html
Para aquellos lectores que ya hayan actualizado su sistema y no sean
vulnerables, pueden visualizar un vídeo en el que se muestra el efecto
del exploit en:
http://www.hispasec.com/laboratorio/video_ani.htm
Más información:
Microsoft Security Bulletin MS07-017
Vulnerabilities in GDI Could Allow Remote Code Execution (925902)
http://www.microsoft.com/technet/security/Bulletin/MS07-017.mspx
Sergio de los Santos
[email protected]
Fuente: http://www.hispasec.com/unaaldia/3090/
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!