ecoestadistica.com

domingo, enero 01, 2006

Mas sobre el IE WMF 0-day exploit...

En el blog de F-Secure se informa en este post "WMF, day 3" que:

* El número de troyanos que utilizan este WMF 0-day exploit se está incrementando rápidamente.
* La solución temporaria sugerida, consistente en el desregistro de la librería Shimgvw.dll utilizada por el "Visor de imágenes y Fax de Windows", solo detendrá la explotación automática de la vulnerabilidad desde el Internet Explorer y el Explorador de Windows, sin embargo, eso no nos protege en caso de abrir el archivo WMF malicioso directamente desde, por ejemplo, el MS-Paint.
* También existe riesgo aún al abrir archivos de imagen, cuyo origen no es confiable, con otras extensiones (como p. ej. BMP, GIF, PNG, JPG, JPEG, JPE, JFIF, DIB, RLE, EMF, TIF, TIFF o ICO) ya que podría tratarse de un WMF malicioso renombrado.
De modo que, por el momento, es recomendable no visualizar ningún archivo de imágen de origen no confiable ya sea con MS-Paint o cualquier otra aplicación para edición/visualización de imagenes.

Otras acotaciones interesantes de un lector del SANS ISC en este post "Musings and More WMF Information":

* Aún si se desregistra la librería afectada, algunos programas podrían registrarla nuevamente mediante su invocación directa.
* Es necesario eliminar o renombrar la dll para estar protegido (recordar deshacer esta modificación una vez que este fallo haya sido parcheado).

Medios de ataque:
El principal medio de ataque existoso actual, es a través de la ejecución automática del exploit mediante el navegador Internet Explorer al visitar un sitio malicioso o no malicioso pero que cuenta con anuncios publicitarios de terceras partes, como los generados a traves de popups de Exfol/WebExt, como ocurre por ejemplo con el sitio wallpapers4u.com.
(Ref.: Sunbelt Blog "Exfol/WebExt using WMF exploit on rotational popups")

Primer virus que explota esta vulnerabilidad:
Ya se conoce la existencia del primer gusano que explota esta vulnerabilidad distribuyendose vía MSN Messenger (IM-Worm) mediante un enlace a "http://[....]/xmas-2006 FUNNY.jpg".
Dicho JPG es una página html con enlace a un WMF malicioso.
(Ref.: VirusList.com Blog (de Kaspersky Labs) "More on WMF exploitation")

Parche no oficial (para betatesters):
En este post "Ilfak to the rescue!" del Blog de F-Secure informan que Ilfak Guilfanov ha desarrollado un parche temporario no oficial que no quita ninguna funcionalidad en el sistema (todas las imágenes y vistas en miniaturas funcionarán normalmente).
Este parche ha sido probado en Win XP SP2 y XP 64 bits, pero no ha sido probado en Win 2000.
Ilfak Guilfanov recomienda desinstalar su parche y utilizar el de Microsoft una vez que esté disponible.

Más información y descarga del parche creado por Ilfak Guilfanov:
Hex blog: "Windows WMF Metafile Vulnerability HotFix"

Salu2

ecoestadistica.com