J.L. López, 28/12/2005 (16:31).

Hay un exploit activo, que permite la ejecución de código malicioso por el simple hecho de ver un archivo WMF en una carpeta (o sitio web). No hay que hacer clic en él ni nada parecido.

Estamos viendo como neutralizarlo, por lo pronto no acepten ni intenten visualizar estos archivos si los reciben.

NOD32 detecta el ejecutable malicioso que intenta abrirse por su heurística, sin necesidad de ser actualizado, pero no sabemos que pasa si el autor cambia ese código.

El exploit en si no es detectado por heurística (por ahora al menos).

De todos modos, en unos minutos se va a publicar una detección para el exploit propiamente dicho...

Así que por ahora *OJO* con los archivos .WMF

Quienes usen un cortafuegos que detecte intentos de conexión desde el PC hacia afuera (por ejemplo ZoneAlarm), serán avisados del intento de conexión de un archivo (que por ahora se llama A.EXE), a Internet.

Niégenlo, y maten el proceso A.EXE en la lista de procesos (en XP al menos, es visible como A.EXE).

Si tienen NOD32, el antivirus impedirá la ejecución de ESE archivo, protegiéndolos (lo detecta como variante de Win32/TrojanDownloader.Small.AOD)

Pero reitero, el exploit en si podría ejecutar otro códig si es modificado por el autor...

Información Hispamp3.com

Microsoft confirma la vulnerabilidad al procesar .WMF

Microsoft publica un aviso de seguridad donde confirma la existencia de una nueva vulnerabilidad en Windows, para la que aun no existe parche, y que está siendo aprovechada para infectar los sistemas automáticamente al visitar determinadas páginas webs.

(Hispasec) Tal y como comentábamos en el una-al-día de ayer, están proliferando los sitios webs que contienen archivos Windows MetaFile (WMF) especialmente diseñados para explotar un desbordamiento de buffer en la biblioteca que procesa, entre otros, los archivos de imágenes WMF.

Microsoft amplía el número de sistemas afectados por la vulnerabilidad a prácticamente la mayoría de versiones Windows, según su aviso entre el software afectado se encuentra Windows 98, Windows 98SE, Windows ME, Windows 2000 SP4, Windows XP SP1, Windows XP SP2, Windows XP x64 Edition, Windows 2003 y Windows 2003 SP1 en sus versiones Itanium y x64.

En el apartado de prevención, se recomienda no visitar enlaces no confiables que nos lleguen a través del correo electrónico, IRC, mensajería instantánea, foros web, grupos de noticias, etc. que podrían ser un cebo para que visitemos las páginas que contienen los archivos WMF maliciosos.

Otro consejo genérico, que además puede prevenir de otro tipo de ataques, como el phishing, pasa por configurar nuestro cliente de correo para leer los mensajes sin formato, sólo en modo texto.

Adicionalmente, como medida de mitigación a la espera del parche específico que corrija esta vulnerabilidad, Microsoft ha documentado como puede desactivarse la biblioteca Shimgvw.dll utilizada por el Visor de imágenes y Fax de Windows, y que está siendo aprovechada por los archivos WMF maliciosos conocidos hasta la fecha.

Los pasos son los siguientes:

* Desde el menú Inicio, seleccionar Ejecutar, y teclear (sin las comillas): "regsvr32 -u %windir%system32shimgvw.dll"

* Aparecerá una ventana informando de que la operación se ha realizado con éxito. Aceptamos.

Como efecto colateral a esta medida de mitigación, el Visor de Imágenes y Fax de Windows no funcionará cuando intentemos abrir directamente un archivo asociado a esta aplicación, ni podremos previsualizar los archivos WMF en Explorer.

Cuando Microsoft publique e instalemos el parche para corregir la vulnerabilidad podremos reestablecer la funcionalidad de esta aplicación con los mismos pasos descritos anteriormente, pero ejecutando en esta ocasión el comando (sin las comillas)
"regsvr32 %windir%system32shimgvw.dll"

Desde Hispasec también debemos indicar que la mayoría de soluciones antivirus están incorporando firmas para proteger a sus usuarios contra los archivos WMF maliciosos, aunque la proliferación de variantes es continua.

Como ejemplo, aquí podemos ver como detecta cada solución antivirus una de las primeras versiones publicadas de archivo WMF que explota la vulnerabilidad para descargar spyware:

AntiVir [TR/Dldr.WMF.Small]
Avast [Win32:Exdown]
AVG [Downloader.Agent.13.AJ]
Avira [TR/Dldr.WMF.Small]
BitDefender [Exploit.Win32.WMF-PFV.A]
CAT-QuickHeal [WMF.Exploit]
ClamAV [Exploit.WMF.A]
DrWeb [Exploit.MS05-053]
eTrust-Iris [Win32/Worfo.B!Trojan]
eTrust-Vet [Win32/Worfo]
Ewido [Not-A-Virus.Exploit.Win32.Agent.r]
Fortinet [W32/WMF-exploit]
F-Prot [security risk or a "backdoor" program]
Kaspersky [Trojan-Downloader.Win32.Agent.acd]
McAfee [Exploit-WMF]
NOD32v2 [Win32/TrojanDownloader.Wmfex]
Panda [Exploit/Metafile]
Sophos [Troj/DownLdr-LW]
Symantec [Download.Trojan]
TheHacker [Exploit/WMF]

Otra medida de mitigación, aunque evidentemente no es mencionada en el aviso de Microsoft, es utiliza un navegador diferente a Internet Explorer, como Firefox u Opera, que no procesan automáticamente los archivos WMF y requieren la intervención del usuario para abrirlos.

Por último, esperar que Microsoft acelere, en la medida de lo posible, la publicación del parche correspondiente, sin necesidad de esperar al segundo martes del mes que viene según su política de publicación periódica, ya que sin duda se trata de un caso excepcional: la vulnerabilidad es crítica, está siendo explotada de forma activa, y el número de ataques/variantes aumenta progresivamente.

ENLACES RELACIONADOS
Artículo en Hispasec. (http://www.hispasec.com/unaaldia/2623)

Información hispamp3.com

Alerta ante nuevo exploit para la vulnerabilidad WMF.

Un nuevo exploit que se vale de la vulnerabilidad en los archivos WMF ha sido reportado "en la calle" por el Internet Storm Center (ISC) del Sans Institute.

(VSAntivirus) El exploit genera archivos con tamaños al azar, y con otras extensiones diferentes a la de WMF (JPG y otras extensiones de archivos de imágenes podrían ser utilizadas).

Los archivos contienen una cierta cantidad de código basura antes de la llamada maliciosa que ejecuta el exploit. El tamaño ha sido cuidadosamente calculado a mano, para que sea más largo que el valor MTU utilizado en redes ethernet.

MTU o Unidad Máxima de Transferencia (Maximum Transfer Unit), es el tamaño en bytes de los paquetes (datagramas) más grandes que pueden pasar por una capa de un protocolo de comunicaciones. La información que se transmite por redes, siempre se divide en paquetes para poder transmitirse. La idea en este caso, sería evitar la detección a nivel de redes, antes que el archivo completo llegue a destino.

El código fuente contiene varias llamadas posibles a la interfase gráfica de Windows (Windows Graphic Display Interface o GDI), que pueden ejecutar el exploit. Recordemos que el exploit original se valía de una llamada a la función SETABORTPROC (ver "Todo lo que hay que saber sobre el exploit WMF", http://www.vsantivirus.com/faq-wmf-exploit.htm)

Esta información será ampliada, pero por el momento sugerimos seguir al pie de la letra las advertencias y consejos dados para el exploit actual en el enlace anterior.

ENLACES RELACIONADOS
http://www.vsantivirus.com/faq-wmf-exploit.htm

Todo lo que hay que saber sobre el exploit WMF

- ¿Abrir un archivo WMF con un editor como MSPAINT es seguro?
- ¿Utilizar un visualizador de terceros, como IrfanView o ACDSEE es seguro?
- ¿Cuántos sitios o troyanos explotan actualmente esta vulnerabilidad?
- ¿Es seguro filtrar solo archivos con extensión .WMF?
- ¿Es vulnerable Google Desktop?
- ¿Cuál es el uso más extenso que se ha dado al exploit?
- ¿Estoy protegido si no utilizo Internet Explorer?
- Microsoft recomienda también utilizar la protección DEP, ¿esto es efectivo?
- ¿Que hace exactamente que funcione el exploit?
- ¿Sólo Windows o el Internet Explorer son vulnerables?
- ¿Cuál es la protección más efectiva?

Más información:
http://www.vsantivirus.com/faq-wmf-exploit.htm

Parche NO oficial para la vulnerabilidad WMF.

El Internet Storm Center del Sans Institute, recomienda enfáticamente la instalación de un parche NO OFICIAL creado por Ilfak Guilfanov para la vulnerabilidad WMF.

(VSAntivirus) No es común la recomendación de parches no oficiales, sobre todo cuando se trata del sistema operativo. En este caso se justifica su instalación por tratarse de un problema extremadamente grave.

En el artículo "El problema WMF y la ética de una computación confiable", http://www.vsantivirus.com/01-01-06.htm" (http://www.vsantivirus.com/01-01-06.htm) se dan más argumentos para esta decisión.

Por lo pronto, el parche, que puede ser descargado del ISC, puede instalarse en múltiples configuraciones de Windows 2000, XP 32-bit, XP 64-bit, y Windows Server 2003.

Este parche NO remueve ninguna funcionalidad conocida del sistema, por ejemplo, todas las imágenes continúan siendo visibles.

Técnicamente, el parche inyecta su propia DLL (WMFHOTFIX.DLL) a todos los procesos que carga USER32.DLL (el API que maneja la interacción de las aplicaciones con el usuario). Para ello crea la siguiente clave del registro:

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindows
AppInit_DLLs = C:WINDOWSsystem32wmfhotfix.dll

Tenga en cuenta que esto afecta a todos los procesos que utilizan USER32.DLL.

Una vez en memoria, la biblioteca WMFHOTFIX.DLL parchea la función "Escape()" en GDI32.DLL, la interfase gráfica de Windows (Windows Graphic Display Interface o GDI).

Como resultado, la secuencia de escape SETABORT (SETABORTPROC), culpable de la ejecución de código en archivos WMF, ya no es aceptada.

El autor aclara que el parche deshabilita completamente esta función (función que ya es obsoleta, y se conserva solo por compatibilidad con las versiones de 16 bit de Windows), por lo que alguna aplicación o característica de Windows podría no funcionar (en nuestras pruebas, ninguna función, programa o característica conocida dejó de funcionar, y aunque es evidente que no se puede asegurar que todos los programas funcionarán correctamente, es poco probable que afecte aplicaciones conocidas y usadas actualmente).

Si por alguna razón se deseara quitar este parche (o cuando Microsoft publique su actualización oficial), solo basta con desinstalarlo desde "Agregar o quitar programas" del Panel de control, donde aparece listado como "Windows WMF Metafile Vulnerability HotFix".

El parche puede ser descargado del siguiente enlace:

http://handlers.sans.org/tliston/wmffix_hexblog14.exe

Para comprobar la validez de la descarga, el ISC ofrece el siguiente resumen MD5:

MD5: 15f0a36ea33f39c1bcf5a98e51d4f4f6 - wmffix_hexblog14.exe

El mismo está firmado con la llave PGP del SANS Institute que puede conseguirse en el siguiente enlace:

http://handlers.sans.org/tliston/wmffix_hexblog14.exe.asc

Los resúmenes MD5 (acrónimo de Message-Digest Algorithm 5, Algoritmo de Resumen del Mensaje 5), se utilizan extensamente en el mundo del software para proporcionar la seguridad de que un archivo descargado de Internet no se ha alterado. Comparando una suma MD5 publicada con la suma de comprobación del archivo descargado, un usuario puede tener la confianza suficiente de que el archivo es igual que el publicado por sus creadores.


* ¿Puedo usar solo este parche y no desregistrar SHIMGVW.DLL?

Según publica el Internet Storm Center, el consejo es desregistrar SHIMGVW.DLL y aplicar el parche no oficial.

Ambas soluciones son necesarias, por lo que recomendamos utilizar LOS DOS METODOS sugeridos de protección.

Para desregistrar el componente SHIMGVW.DLL, puede utilizar la utilidad creada por VSAntivirus, y que puede descargar desde este enlace:

http://www.vsantivirus.com/faq-wmf-exploit.htm


Más información:

Updated version of Ilfak Guilfanov`s patch (NEW)
http://isc.sans.org/diary.php?storyid=999

Windows WMF Metafile Vulnerability HotFix
http://www.hexblog.com/2005/12/wmf_vuln.html


Relacionados:

El problema WMF y la ética de una computación confiable
http://www.vsantivirus.com/01-01-06.htm

Todo lo que hay que saber sobre el exploit WMF
http://www.vsantivirus.com/faq-wmf-exploit.htm

http://www.vsantivirus.com/vul-wmf-parche.htm

Programa para verificar la vulnerabilidad WMF.

Los usuarios de Windows comienzan mal el año, tras ser descubierta una vulnerabilidad que hace peligrar sus Sistemas operativos al ser expuestos ataques externos debido a una vulnerabilidad muy grave.

La Asociación de Internautas reporta una aplicación desarrollada por Ilfak Guilfanovpara comprobar si tu sistema es vulnerable, la aplicación se puede descargar de;

http://www.hexblog.com/security/files/wmf_...ker_hexblog.exe (http://www.hexblog.com/security/files/wmf_checker_hexblog.exe)

Información de su uso;
http://www.hexblog.com/2006/01/wmf_vulnera...ty_checker.html (http://www.hexblog.com/2006/01/wmf_vulnerability_checker.html)

Se esta a la espera de un parche oficial de carácter urgente por parte de la casa Microsoft.


ENLACES RELACIONADOS
Artículo en AI. (http://www.internautas.org/html/3382.html)

Información hispamp3.com

Microsoft anuncia un parche que solventará la vulnerabilidad WMF.

Aunque los usuarios de Windows deberán esperar hasta el próximo día 10 de Enero para poder descargarlo.

Según podemos leer en el "Microsoft Security Advisory (912840)", el gigante del software ya tiene desarrollada la actualización de seguridad que solventa el serio problema de seguridad WMF.

Actualmente estaría en período de pruebas, comprobándose la funcionalidad del mismo y su plena compatibilidad con todo tipo de aplicaciones.

Como suele ser habitual en Microsoft, la actualización de seguridad estará disponible el segundo martes de enero, el próximo día 10, dentro de su boletín mensual de seguridad.

Permaneced atentos.

ENLACES RELACIONADOS
Artículo en Neowin. (http://www.neowin.net/index.php?act=view&id=31951)
Microsoft Security Advisory (912840) (http://www.microsoft.com/technet/security/advisory/912840.mspx)

Información hispamp3.com

Microsoft libera el parche de seguridad WMF.

Finalmente el gigante del software ha decidido no esperar hasta el próximo martes y liberar antes de lo inicialmente esperado el parche de seguridad que solventa la vulnerabilidad WMF.

Inicialmente anunciado para el próximo día 10 de enero, tradicional segundo martes de cada mes, Microsoft ha decidido adelantar el lanzamiento del mismo.

Debido a la gravedad de la vulnerabilidad, y probablemente también a las críticas que llovían sobre la lentitud del gigante del software, el parche por fin ha sido liberado:

ENLACES RELACIONADOS
Microsoft Security Bulletin MS06-001 (http://www.microsoft.com/technet/security/bulletin/MS06-001.mspx)

Información hispamp3.com