Todo lo que hay que saber sobre el exploit WMF

diciembre 31, 2005 § Deja un comentario

Fuente: http://www.vsantivirus.com/faq-wmf-exploit.htm

Por Jose Luis Lopez (*)
videosoft@videosoft.net.uy

Esta información está recogida de diferentes fuentes (algunas de las cuáles se mencionan al final de este artículo), y también de diversas pruebas que hemos realizado en nuestro laboratorio.

– ¿Abrir un archivo WMF con un editor como MSPAINT es seguro?

No, no es seguro aunque usted haya desregistrado el componente SHIMGVW.DLL. Incluso si un archivo .WMF es renombrado, MSPAINT (Paint), el editor de imágenes que trae Windows por defecto, abre el archivo y eso provoca la ejecución del exploit.

– ¿Utilizar un visualizador de terceros, como IrfanView o ACDSEE es seguro?

No, no lo es. Aunque se haya desregistrado SHIMGVW.DLL, al abrir un archivo .WMF con el IrfanView o IrfanView Thumbnails, puede provocar la ejecución del exploit.

– ¿Cuántos sitios o troyanos explotan actualmente esta vulnerabilidad?

La cantidad de sitios y de troyanos que se aprovechan de esta vulnerabilidad aumenta todos los días. Ya no es práctico tampoco filtrar algunos sitios como muchos aconsejaron al comienzo, ya que esta cantidad es enorme, y además cambia segundo a segundo.

– ¿Es seguro filtrar solo archivos con extensión .WMF?

No, no es seguro. Existen métodos para explotar esta vulnerabilidad utilizando otras extensiones asociadas al visor de imágenes y fax de Windows, como por ejemplo BMP, DIB, EMF, GIF, ICO, JFIF, JPE, JPEG, JPG, PNG, RLE, TIF, TIFF, etc. Además, muchos programas (como MSPAINT), interpretan el archivo WMF como tal aún cuando lo renombremos como JPG por ejemplo. Esto es porque leen los datos de su cabecera (los llamados “bytes mágicos”), sin tomar en cuenta la extensión. Por esta razón no es válida ninguna solución que pase por filtrar archivos por su extensión o tipo.

– ¿Es vulnerable Google Desktop?

Google Desktop no es directamente vulnerable, pero como dicha aplicación (y otras similares), crean un índice de archivos para hacer su búsqueda más rápida, al momento de indexar archivos con extensión .WMF que contengan el exploit, el mismo es ejecutado. Cómo esto ocurre sin que siquiera el usuario haya intentado abrir o visualizar un archivo vulnerable, aconsejamos no utilizar esta aplicación ni ninguna otra que realice búsquedas de archivos en su computadora.

– ¿Cuál es el uso más extenso que se ha dado al exploit?

Todos los exploits conocidos descargan y ejecutan otros archivos (generalmente troyanos), de Internet. El primer exploit que fue detectado, descrito en nuestro artículo “Alerta: Troyano que se ejecuta mediante archivos WMF”, http://www.vsantivirus.com/28-12-05.htm, creaba un archivo A.EXE que al ejecutarse, intentaba descargar otro archivo desde la web. Actualmente, la mayoría de los exploits al ejecutarse, despliegan alguna clase de alerta de texto, por ejemplo una ventana de información (tipo globo), donde se le indica al usuario que está infectado con algún adware o spyware (“Your computer is infected!”, etc.), y se le pide descargar un programa para limpiar la infección. Muchos de esos programas anti-spywares, figuran en nuestro listado “Anti Spywares sospechosos o no confiables (28/12/05)”, http://www.vsantivirus.com/lista-nospyware.htm).

De todos modos, el escenario no está limitado a este tipo de acción, ya que al poderse ejecutar un código sin el conocimiento del usuario, cualquier acción maliciosa es posible. La razón de que la mayoría de los exploits conocidos a la fecha hagan cosas similares, es porque al haber sido hecho público el código del mismo, cualquiera puede crear su propio troyano. Cómo la mayoría de las personas no tienen los conocimientos necesarios, simplemente se dedican a cortar y pegar, y a cambiar unos pocas líneas del código original.

– ¿Estoy protegido si no utilizo Internet Explorer?

No se está totalmente protegido si se utiliza por ejemplo Firefox en lugar de Internet Explorer. Versiones más antiguas de Firefox (1.0.x), abren las imágenes WMF con el visor de imágenes y fax de Windows y son vulnerables. La versión más reciente (1.5.x), intentan abrirlas con el Reproductor de Windows Media, que no es vulnerable. Opera también abre estas imágenes con el visor de imágenes y fax de Windows. De todos modos, todos estos navegadores le preguntan al usuario si desea abrir dichos archivos.

Además, recuerde que la infección vía Web es solo uno de los escenarios posibles. Basta abrir una carpeta que contenga un archivo WMF para que el exploit se ejecute, siempre que tenga activo el visor de imágenes y fax de Windows. Y en esto no importa que navegador se esté utilizando.

– Microsoft recomienda también utilizar la protección DEP, ¿esto es efectivo?

DEP (Data Execution Prevention o “Prevención de ejecución de datos”), es una característica que se instala en Windows XP SP2, Windows Server 2003 SP1 y Windows XP Tablet PC Edition 2005, y que permite proteger el sistema de la ejecución de código malicioso en alguna parte de la memoria marcada sólo para datos. Esta protección puede aplicarse a nivel de hardware en los equipos más modernos, cuyos microprocesadores contengan dicha función, o en caso contrario a nivel de software. Cuando la protección es a nivel de software solamente (la mayoría de los equipos actuales no lo soporta por hardware aún), entonces el exploit igual se ejecuta. Por lo tanto, no recomendamos este tipo de protección, salvo que usted esté seguro que su computadora soporta esta protección por hardware (esto se explica en el artículo “La vulnerabilidad WMF y la solución basada en DEP”, http://www.vsantivirus.com/30-12-05.htm)

– ¿Que hace exactamente que funcione el exploit?

Aunque actualmente el componente relacionado con el exploit es la biblioteca SHIMGVW.DLL, la razón de que se pueda ejecutar código, está en las características de la interfase gráfica de Windows (Windows Graphic Display Interface o GDI).

La interfase gráfica es la que permite a las aplicaciones utilizar gráficos y textos con formato. Las aplicaciones pueden utilizar llamadas especiales a la GDI para controlar funciones que directamente no podrían hacer, por ejemplo, detener un trabajo de impresión.

Los archivos WMF (Windows Metafile), son archivos gráficos que contienen además secuencias de llamadas a funciones GDI. La imagen es creada (visualizada), ejecutando dichas funciones.

El problema se presenta porque algunas de esas funciones pueden corromperse. El exploit actualmente en circulación, se vale de una función que ya es obsoleta, y se conserva solo por compatibilidad con las versiones de 16 bit de Windows. En concreto, es la secuencia de escape GDI llamada SETABORTPROC, la que el exploit utiliza para ejecutar código de forma arbitraria cuando un archivo WMF es visualizado. Sin embargo, otras funciones similares también podrían ser explotadas en el futuro.

Aunque el exploit actual se basa en el visor de imágenes y fax de Windows (SHIMGVW.DLL), la vulnerabilidad principal se encuentra en la biblioteca de la interfase gráfica propiamente dicha (GDI32.DLL, Windows Graphical Device Interface library). Desregistrar SHIMGVW.DLL solo nos protege del exploit actualmente hecho público. De todos modos, no se conocen al momento exploits para otros componentes relacionados con el GDI.

– ¿Sólo Windows o el Internet Explorer son vulnerables?

Esta vulnerabilidad afecta directa o indirectamente a otras aplicaciones, al momento actual se han confirmado las siguientes:

Google Desktop
Lotus Notes

Otras aplicaciones que visualicen o indexen archivos WMF también son indirectamente vulnerables (Firefox y Opera por ejemplo, aunque según la versión, y con la ventaja de que preguntan al usuario antes de abrir un archivo WMF).

– ¿Cuál es la protección más efectiva?

No existe una protección definitiva, hasta que Microsoft no publique un parche que corrija el problema. Mientras tanto, la que más resultados ha dado en nuestras pruebas, es la de desregistrar el componente SHIMGVW.DLL como se explica en el siguiente artículo:

Vulnerabilidad en visor de imágenes y fax de Windows
http://www.vsantivirus.com/vul-windows-shimgvw-281205.htm

Cómo este tipo de protección crea algunas dificultades a quienes hacen uso intensivo de la capacidad de vistas previas, o aún la de visualización de faxes, hemos creado una pequeña utilidad que puede descargar desde el siguiente enlace:

http://www.videosoft.net.uy/wmf-prot.vbs

Descargue este archivo en su escritorio para que le quede a mano. Cuando usted haga clic en él, una simple ventana de opciones le preguntará lo siguiente:

“Pulse Si para desregistrar No para registrar”

El script solo hace eso. La idea es que le permita quitar la protección (cuando no navegue, y no abra archivos descargados de Internet), y solo lo precise para su trabajo. Luego le aconsejamos que siempre recuerde volver a aplicar la protección (o sea pulsar en SI).

Esta herramienta es muy elemental. Por ejemplo, no discierne si ya ha sido aplicada la protección o no (sólo aplíquela si duda haberlo hecho, ya que no tiene consecuencias secundarias si la acción se repite). Pero la idea es que lo ayude si realmente trabaja con las vistas previas, miniaturas o imágenes que la protección altera. Pero sea consciente que la mayoría del tiempo, debería tener la protección activa. Además, cuando la tenga desactivada, no olvide que si usa programas que indexan archivos (como Google Desktop), podrían ejecutarse exploits de archivos descargados de Internet, por lo que le aconsejamos no instalar herramientas como la de Google.

Aún a pesar de todo ello, aconsejamos precaución extrema a la hora de abrir adjuntos, páginas de Internet o carpetas compartidas por programas P2P que contengan archivos .WMF.

Utilizar un cortafuegos que detecte intentos de conexión desde el PC hacia el exterior (por ejemplo ZoneAlarm), puede ser de gran ayuda a la hora de detener el intento de conexión de un archivo ejecutado por el exploit, cuando intente conectarse a un determinado sitio Web para descargar otros componentes.

Usar un antivirus actualizado es fundamental.

De todos modos, tenga en cuenta que no todas las versiones del exploit son detectadas por todos los antivirus.

Como ejemplo, estas son muestras enviadas a Virus Total apenas hace unos minutos:

Este es el resultado de analizar el archivo “exploit-wmf2.wmf” que VirusTotal ha procesado el dia 31/12/2005 a las 10:07:59 (CET).

AntiVir 6.33.0.70 30.12.2005 no ha encontrado virus
Avast 4.6.695.0 30.12.2005 Win32:Exdown
AVG 718 30.12.2005 no ha encontrado virus
Avira 6.33.0.70 30.12.2005 no ha encontrado virus
BitDefender 7.2 31.12.2005 Exploit.Win32.WMF-PFV
CAT-QuickHeal 8.00 31.12.2005 no ha encontrado virus
ClamAV devel-20051123 29.12.2005 no ha encontrado virus
DrWeb 4.33 30.12.2005 no ha encontrado virus
eTrust-Iris 7.1.194.0 30.12.2005 no ha encontrado virus
eTrust-Vet 12.4.1.0 31.12.2005 no ha encontrado virus
Ewido 3.5 30.12.2005 no ha encontrado virus
Fortinet 2.54.0.0 31.12.2005 no ha encontrado virus
F-Prot 3.16c 30.12.2005 no ha encontrado virus
Ikarus 0.2.59.0 30.12.2005 no ha encontrado virus
Kaspersky 4.0.2.24 31.12.2005 Exploit.Win32.IMG-WMF
McAfee 4663 30.12.2005 Exploit-WMF
NOD32v2 1.1347 30.12.2005 variant of Win32/Exploit.WMF
Norman 5.70.10 31.12.2005 W32/Exploit.Gen
Panda 9.0.0.4 30.12.2005 Exploit/WMF
Sophos 4.01.0 30.12.2005 no ha encontrado virus
Symantec 8.0 31.12.2005 no ha encontrado virus
TheHacker 5.9.1.064 29.12.2005 no ha encontrado virus
UNA 1.83 30.12.2005 no ha encontrado virus
VBA32 3.10.5 30.12.2005 no ha encontrado virus

Este es el resultado de analizar el archivo “exploit-wmf3.wmf” que VirusTotal ha procesado el dia 31/12/2005 a las 10:12:36 (CET).

AntiVir 6.33.0.70 30.12.2005 no ha encontrado virus
Avast 4.6.695.0 30.12.2005 no ha encontrado virus
AVG 718 30.12.2005 no ha encontrado virus
Avira 6.33.0.70 30.12.2005 no ha encontrado virus
BitDefender 7.2 31.12.2005 Exploit.Win32.WMF-PFV
CAT-QuickHeal 8.00 31.12.2005 no ha encontrado virus
ClamAV devel-20051123 29.12.2005 no ha encontrado virus
DrWeb 4.33 30.12.2005 no ha encontrado virus
eTrust-Iris 7.1.194.0 30.12.2005 no ha encontrado virus
eTrust-Vet 12.4.1.0 31.12.2005 no ha encontrado virus
Ewido 3.5 30.12.2005 no ha encontrado virus
Fortinet 2.54.0.0 31.12.2005 no ha encontrado virus
F-Prot 3.16c 30.12.2005 no ha encontrado virus
Ikarus 0.2.59.0 30.12.2005 no ha encontrado virus
Kaspersky 4.0.2.24 31.12.2005 no ha encontrado virus
McAfee 4663 30.12.2005 Exploit-WMF
NOD32v2 1.1347 30.12.2005 variant of Win32/Exploit.WMF
Norman 5.70.10 31.12.2005 W32/Exploit.Gen
Panda 9.0.0.4 30.12.2005 Exploit/WMF
Sophos 4.01.0 30.12.2005 no ha encontrado virus
Symantec 8.0 31.12.2005 no ha encontrado virus
TheHacker 5.9.1.064 28.12.2005 no ha encontrado virus
UNA 1.83 30.12.2005 no ha encontrado virus
VBA32 3.10.5 30.12.2005 no ha encontrado virus

Más información:

Alerta: Troyano que se ejecuta mediante archivos WMF
http://www.vsantivirus.com/28-12-05.htm

Vulnerabilidad en visor de imágenes y fax de Windows
http://www.vsantivirus.com/vul-windows-shimgvw-281205.htm

TrojanDownloader.Wmfex. Detección para exploit WMF
http://www.vsantivirus.com/trojandownloader-wmfex.htm

La vulnerabilidad WMF y la solución basada en DEP
http://www.vsantivirus.com/30-12-05.htm

Referencias

Vulnerability Note VU#181038
Microsoft Windows Metafile handler SETABORTPROC GDI vulnerability
http://www.kb.cert.org/vuls/id/181038

Microsoft Windows Metafile Handling Buffer Overflow
http://www.us-cert.gov/cas/techalerts/TA05-362A.html

Microsoft Security Advisory (912840)
Vulnerability in Graphics Rendering Engine Could Allow Remote Code Execution.
http://www.microsoft.com/technet/security/advisory/912840.mspx

Windows WMF 0-day exploit in the wild
http://isc.sans.org/diary.php?rss&storyid=972

Update on Windows WMF 0-day
http://isc.sans.org/diary.php?storyid=975

Microsoft Windows WMF “SETABORTPROC” Arbitrary Code Execution
http://secunia.com/advisories/18255/

Microsoft Windows Graphics Rendering Engine
WMF Format Unspecified Code Execution Vulnerability
http://www.securityfocus.com/bid/16074

Q-085: Microsoft Windows Metafile File (WMF) Handling Vulnerability
[US-CERT Vulnerability Note VU#181038]
http://www.ciac.org/ciac/bulletins/q-085.shtml

Microsoft Windows WMF Handling Remote Code Execution Vulnerability
http://www.juniper.net/security/auto/vulnerabilities/vuln2830.html

F-Secure weblog
http://www.f-secure.com/weblog/archives/archive-122005.html#00000755

(*) Jose Luis Lopez es el responsable de contenidos de VSAntivirus.com, y director técnico y gerente general de NOD32 Uruguay.

[Última modificación: 31/12/05 18:19 -0200]

Todo lo que hay que saber sobre el exploit WMF

diciembre 31, 2005 § Deja un comentario

Fuente: http://www.vsantivirus.com/faq-wmf-exploit.htm

Por Jose Luis Lopez (*)
videosoft@videosoft.net.uy

Esta información está recogida de diferentes fuentes (algunas de las cuáles se mencionan al final de este artículo), y también de diversas pruebas que hemos realizado en nuestro laboratorio.

– ¿Abrir un archivo WMF con un editor como MSPAINT es seguro?

No, no es seguro aunque usted haya desregistrado el componente SHIMGVW.DLL. Incluso si un archivo .WMF es renombrado, MSPAINT (Paint), el editor de imágenes que trae Windows por defecto, abre el archivo y eso provoca la ejecución del exploit.

– ¿Utilizar un visualizador de terceros, como IrfanView o ACDSEE es seguro?

No, no lo es. Aunque se haya desregistrado SHIMGVW.DLL, al abrir un archivo .WMF con el IrfanView o IrfanView Thumbnails, puede provocar la ejecución del exploit.

– ¿Cuántos sitios o troyanos explotan actualmente esta vulnerabilidad?

La cantidad de sitios y de troyanos que se aprovechan de esta vulnerabilidad aumenta todos los días. Ya no es práctico tampoco filtrar algunos sitios como muchos aconsejaron al comienzo, ya que esta cantidad es enorme, y además cambia segundo a segundo.

– ¿Es seguro filtrar solo archivos con extensión .WMF?

No, no es seguro. Existen métodos para explotar esta vulnerabilidad utilizando otras extensiones asociadas al visor de imágenes y fax de Windows, como por ejemplo BMP, DIB, EMF, GIF, ICO, JFIF, JPE, JPEG, JPG, PNG, RLE, TIF, TIFF, etc. Además, muchos programas (como MSPAINT), interpretan el archivo WMF como tal aún cuando lo renombremos como JPG por ejemplo. Esto es porque leen los datos de su cabecera (los llamados “bytes mágicos”), sin tomar en cuenta la extensión. Por esta razón no es válida ninguna solución que pase por filtrar archivos por su extensión o tipo.

– ¿Es vulnerable Google Desktop?

Google Desktop no es directamente vulnerable, pero como dicha aplicación (y otras similares), crean un índice de archivos para hacer su búsqueda más rápida, al momento de indexar archivos con extensión .WMF que contengan el exploit, el mismo es ejecutado. Cómo esto ocurre sin que siquiera el usuario haya intentado abrir o visualizar un archivo vulnerable, aconsejamos no utilizar esta aplicación ni ninguna otra que realice búsquedas de archivos en su computadora.

– ¿Cuál es el uso más extenso que se ha dado al exploit?

Todos los exploits conocidos descargan y ejecutan otros archivos (generalmente troyanos), de Internet. El primer exploit que fue detectado, descrito en nuestro artículo “Alerta: Troyano que se ejecuta mediante archivos WMF”, http://www.vsantivirus.com/28-12-05.htm, creaba un archivo A.EXE que al ejecutarse, intentaba descargar otro archivo desde la web. Actualmente, la mayoría de los exploits al ejecutarse, despliegan alguna clase de alerta de texto, por ejemplo una ventana de información (tipo globo), donde se le indica al usuario que está infectado con algún adware o spyware (“Your computer is infected!”, etc.), y se le pide descargar un programa para limpiar la infección. Muchos de esos programas anti-spywares, figuran en nuestro listado “Anti Spywares sospechosos o no confiables (28/12/05)”, http://www.vsantivirus.com/lista-nospyware.htm).

De todos modos, el escenario no está limitado a este tipo de acción, ya que al poderse ejecutar un código sin el conocimiento del usuario, cualquier acción maliciosa es posible. La razón de que la mayoría de los exploits conocidos a la fecha hagan cosas similares, es porque al haber sido hecho público el código del mismo, cualquiera puede crear su propio troyano. Cómo la mayoría de las personas no tienen los conocimientos necesarios, simplemente se dedican a cortar y pegar, y a cambiar unos pocas líneas del código original.

– ¿Estoy protegido si no utilizo Internet Explorer?

No se está totalmente protegido si se utiliza por ejemplo Firefox en lugar de Internet Explorer. Versiones más antiguas de Firefox (1.0.x), abren las imágenes WMF con el visor de imágenes y fax de Windows y son vulnerables. La versión más reciente (1.5.x), intentan abrirlas con el Reproductor de Windows Media, que no es vulnerable. Opera también abre estas imágenes con el visor de imágenes y fax de Windows. De todos modos, todos estos navegadores le preguntan al usuario si desea abrir dichos archivos.

Además, recuerde que la infección vía Web es solo uno de los escenarios posibles. Basta abrir una carpeta que contenga un archivo WMF para que el exploit se ejecute, siempre que tenga activo el visor de imágenes y fax de Windows. Y en esto no importa que navegador se esté utilizando.

– Microsoft recomienda también utilizar la protección DEP, ¿esto es efectivo?

DEP (Data Execution Prevention o “Prevención de ejecución de datos”), es una característica que se instala en Windows XP SP2, Windows Server 2003 SP1 y Windows XP Tablet PC Edition 2005, y que permite proteger el sistema de la ejecución de código malicioso en alguna parte de la memoria marcada sólo para datos. Esta protección puede aplicarse a nivel de hardware en los equipos más modernos, cuyos microprocesadores contengan dicha función, o en caso contrario a nivel de software. Cuando la protección es a nivel de software solamente (la mayoría de los equipos actuales no lo soporta por hardware aún), entonces el exploit igual se ejecuta. Por lo tanto, no recomendamos este tipo de protección, salvo que usted esté seguro que su computadora soporta esta protección por hardware (esto se explica en el artículo “La vulnerabilidad WMF y la solución basada en DEP”, http://www.vsantivirus.com/30-12-05.htm)

– ¿Que hace exactamente que funcione el exploit?

Aunque actualmente el componente relacionado con el exploit es la biblioteca SHIMGVW.DLL, la razón de que se pueda ejecutar código, está en las características de la interfase gráfica de Windows (Windows Graphic Display Interface o GDI).

La interfase gráfica es la que permite a las aplicaciones utilizar gráficos y textos con formato. Las aplicaciones pueden utilizar llamadas especiales a la GDI para controlar funciones que directamente no podrían hacer, por ejemplo, detener un trabajo de impresión.

Los archivos WMF (Windows Metafile), son archivos gráficos que contienen además secuencias de llamadas a funciones GDI. La imagen es creada (visualizada), ejecutando dichas funciones.

El problema se presenta porque algunas de esas funciones pueden corromperse. El exploit actualmente en circulación, se vale de una función que ya es obsoleta, y se conserva solo por compatibilidad con las versiones de 16 bit de Windows. En concreto, es la secuencia de escape GDI llamada SETABORTPROC, la que el exploit utiliza para ejecutar código de forma arbitraria cuando un archivo WMF es visualizado. Sin embargo, otras funciones similares también podrían ser explotadas en el futuro.

Aunque el exploit actual se basa en el visor de imágenes y fax de Windows (SHIMGVW.DLL), la vulnerabilidad principal se encuentra en la biblioteca de la interfase gráfica propiamente dicha (GDI32.DLL, Windows Graphical Device Interface library). Desregistrar SHIMGVW.DLL solo nos protege del exploit actualmente hecho público. De todos modos, no se conocen al momento exploits para otros componentes relacionados con el GDI.

– ¿Sólo Windows o el Internet Explorer son vulnerables?

Esta vulnerabilidad afecta directa o indirectamente a otras aplicaciones, al momento actual se han confirmado las siguientes:

Google Desktop
Lotus Notes

Otras aplicaciones que visualicen o indexen archivos WMF también son indirectamente vulnerables (Firefox y Opera por ejemplo, aunque según la versión, y con la ventaja de que preguntan al usuario antes de abrir un archivo WMF).

– ¿Cuál es la protección más efectiva?

No existe una protección definitiva, hasta que Microsoft no publique un parche que corrija el problema. Mientras tanto, la que más resultados ha dado en nuestras pruebas, es la de desregistrar el componente SHIMGVW.DLL como se explica en el siguiente artículo:

Vulnerabilidad en visor de imágenes y fax de Windows
http://www.vsantivirus.com/vul-windows-shimgvw-281205.htm

Cómo este tipo de protección crea algunas dificultades a quienes hacen uso intensivo de la capacidad de vistas previas, o aún la de visualización de faxes, hemos creado una pequeña utilidad que puede descargar desde el siguiente enlace:

http://www.videosoft.net.uy/wmf-prot.vbs

Descargue este archivo en su escritorio para que le quede a mano. Cuando usted haga clic en él, una simple ventana de opciones le preguntará lo siguiente:

“Pulse Si para desregistrar No para registrar”

El script solo hace eso. La idea es que le permita quitar la protección (cuando no navegue, y no abra archivos descargados de Internet), y solo lo precise para su trabajo. Luego le aconsejamos que siempre recuerde volver a aplicar la protección (o sea pulsar en SI).

Esta herramienta es muy elemental. Por ejemplo, no discierne si ya ha sido aplicada la protección o no (sólo aplíquela si duda haberlo hecho, ya que no tiene consecuencias secundarias si la acción se repite). Pero la idea es que lo ayude si realmente trabaja con las vistas previas, miniaturas o imágenes que la protección altera. Pero sea consciente que la mayoría del tiempo, debería tener la protección activa. Además, cuando la tenga desactivada, no olvide que si usa programas que indexan archivos (como Google Desktop), podrían ejecutarse exploits de archivos descargados de Internet, por lo que le aconsejamos no instalar herramientas como la de Google.

Aún a pesar de todo ello, aconsejamos precaución extrema a la hora de abrir adjuntos, páginas de Internet o carpetas compartidas por programas P2P que contengan archivos .WMF.

Utilizar un cortafuegos que detecte intentos de conexión desde el PC hacia el exterior (por ejemplo ZoneAlarm), puede ser de gran ayuda a la hora de detener el intento de conexión de un archivo ejecutado por el exploit, cuando intente conectarse a un determinado sitio Web para descargar otros componentes.

Usar un antivirus actualizado es fundamental.

De todos modos, tenga en cuenta que no todas las versiones del exploit son detectadas por todos los antivirus.

Como ejemplo, estas son muestras enviadas a Virus Total apenas hace unos minutos:

Este es el resultado de analizar el archivo “exploit-wmf2.wmf” que VirusTotal ha procesado el dia 31/12/2005 a las 10:07:59 (CET).

AntiVir 6.33.0.70 30.12.2005 no ha encontrado virus
Avast 4.6.695.0 30.12.2005 Win32:Exdown
AVG 718 30.12.2005 no ha encontrado virus
Avira 6.33.0.70 30.12.2005 no ha encontrado virus
BitDefender 7.2 31.12.2005 Exploit.Win32.WMF-PFV
CAT-QuickHeal 8.00 31.12.2005 no ha encontrado virus
ClamAV devel-20051123 29.12.2005 no ha encontrado virus
DrWeb 4.33 30.12.2005 no ha encontrado virus
eTrust-Iris 7.1.194.0 30.12.2005 no ha encontrado virus
eTrust-Vet 12.4.1.0 31.12.2005 no ha encontrado virus
Ewido 3.5 30.12.2005 no ha encontrado virus
Fortinet 2.54.0.0 31.12.2005 no ha encontrado virus
F-Prot 3.16c 30.12.2005 no ha encontrado virus
Ikarus 0.2.59.0 30.12.2005 no ha encontrado virus
Kaspersky 4.0.2.24 31.12.2005 Exploit.Win32.IMG-WMF
McAfee 4663 30.12.2005 Exploit-WMF
NOD32v2 1.1347 30.12.2005 variant of Win32/Exploit.WMF
Norman 5.70.10 31.12.2005 W32/Exploit.Gen
Panda 9.0.0.4 30.12.2005 Exploit/WMF
Sophos 4.01.0 30.12.2005 no ha encontrado virus
Symantec 8.0 31.12.2005 no ha encontrado virus
TheHacker 5.9.1.064 29.12.2005 no ha encontrado virus
UNA 1.83 30.12.2005 no ha encontrado virus
VBA32 3.10.5 30.12.2005 no ha encontrado virus

Este es el resultado de analizar el archivo “exploit-wmf3.wmf” que VirusTotal ha procesado el dia 31/12/2005 a las 10:12:36 (CET).

AntiVir 6.33.0.70 30.12.2005 no ha encontrado virus
Avast 4.6.695.0 30.12.2005 no ha encontrado virus
AVG 718 30.12.2005 no ha encontrado virus
Avira 6.33.0.70 30.12.2005 no ha encontrado virus
BitDefender 7.2 31.12.2005 Exploit.Win32.WMF-PFV
CAT-QuickHeal 8.00 31.12.2005 no ha encontrado virus
ClamAV devel-20051123 29.12.2005 no ha encontrado virus
DrWeb 4.33 30.12.2005 no ha encontrado virus
eTrust-Iris 7.1.194.0 30.12.2005 no ha encontrado virus
eTrust-Vet 12.4.1.0 31.12.2005 no ha encontrado virus
Ewido 3.5 30.12.2005 no ha encontrado virus
Fortinet 2.54.0.0 31.12.2005 no ha encontrado virus
F-Prot 3.16c 30.12.2005 no ha encontrado virus
Ikarus 0.2.59.0 30.12.2005 no ha encontrado virus
Kaspersky 4.0.2.24 31.12.2005 no ha encontrado virus
McAfee 4663 30.12.2005 Exploit-WMF
NOD32v2 1.1347 30.12.2005 variant of Win32/Exploit.WMF
Norman 5.70.10 31.12.2005 W32/Exploit.Gen
Panda 9.0.0.4 30.12.2005 Exploit/WMF
Sophos 4.01.0 30.12.2005 no ha encontrado virus
Symantec 8.0 31.12.2005 no ha encontrado virus
TheHacker 5.9.1.064 28.12.2005 no ha encontrado virus
UNA 1.83 30.12.2005 no ha encontrado virus
VBA32 3.10.5 30.12.2005 no ha encontrado virus

Más información:

Alerta: Troyano que se ejecuta mediante archivos WMF
http://www.vsantivirus.com/28-12-05.htm

Vulnerabilidad en visor de imágenes y fax de Windows
http://www.vsantivirus.com/vul-windows-shimgvw-281205.htm

TrojanDownloader.Wmfex. Detección para exploit WMF
http://www.vsantivirus.com/trojandownloader-wmfex.htm

La vulnerabilidad WMF y la solución basada en DEP
http://www.vsantivirus.com/30-12-05.htm

Referencias

Vulnerability Note VU#181038
Microsoft Windows Metafile handler SETABORTPROC GDI vulnerability
http://www.kb.cert.org/vuls/id/181038

Microsoft Windows Metafile Handling Buffer Overflow
http://www.us-cert.gov/cas/techalerts/TA05-362A.html

Microsoft Security Advisory (912840)
Vulnerability in Graphics Rendering Engine Could Allow Remote Code Execution.
http://www.microsoft.com/technet/security/advisory/912840.mspx

Windows WMF 0-day exploit in the wild
http://isc.sans.org/diary.php?rss&storyid=972

Update on Windows WMF 0-day
http://isc.sans.org/diary.php?storyid=975

Microsoft Windows WMF “SETABORTPROC” Arbitrary Code Execution
http://secunia.com/advisories/18255/

Microsoft Windows Graphics Rendering Engine
WMF Format Unspecified Code Execution Vulnerability
http://www.securityfocus.com/bid/16074

Q-085: Microsoft Windows Metafile File (WMF) Handling Vulnerability
[US-CERT Vulnerability Note VU#181038]
http://www.ciac.org/ciac/bulletins/q-085.shtml

Microsoft Windows WMF Handling Remote Code Execution Vulnerability
http://www.juniper.net/security/auto/vulnerabilities/vuln2830.html

F-Secure weblog
http://www.f-secure.com/weblog/archives/archive-122005.html#00000755

(*) Jose Luis Lopez es el responsable de contenidos de VSAntivirus.com, y director técnico y gerente general de NOD32 Uruguay.

[Última modificación: 31/12/05 18:19 -0200]

Todo lo que hay que saber sobre el exploit WMF

diciembre 31, 2005 § Deja un comentario

Fuente: http://www.vsantivirus.com/faq-wmf-exploit.htm

Por Jose Luis Lopez (*)
videosoft@videosoft.net.uy

Esta información está recogida de diferentes fuentes (algunas de las cuáles se mencionan al final de este artículo), y también de diversas pruebas que hemos realizado en nuestro laboratorio.

– ¿Abrir un archivo WMF con un editor como MSPAINT es seguro?

No, no es seguro aunque usted haya desregistrado el componente SHIMGVW.DLL. Incluso si un archivo .WMF es renombrado, MSPAINT (Paint), el editor de imágenes que trae Windows por defecto, abre el archivo y eso provoca la ejecución del exploit.

– ¿Utilizar un visualizador de terceros, como IrfanView o ACDSEE es seguro?

No, no lo es. Aunque se haya desregistrado SHIMGVW.DLL, al abrir un archivo .WMF con el IrfanView o IrfanView Thumbnails, puede provocar la ejecución del exploit.

– ¿Cuántos sitios o troyanos explotan actualmente esta vulnerabilidad?

La cantidad de sitios y de troyanos que se aprovechan de esta vulnerabilidad aumenta todos los días. Ya no es práctico tampoco filtrar algunos sitios como muchos aconsejaron al comienzo, ya que esta cantidad es enorme, y además cambia segundo a segundo.

– ¿Es seguro filtrar solo archivos con extensión .WMF?

No, no es seguro. Existen métodos para explotar esta vulnerabilidad utilizando otras extensiones asociadas al visor de imágenes y fax de Windows, como por ejemplo BMP, DIB, EMF, GIF, ICO, JFIF, JPE, JPEG, JPG, PNG, RLE, TIF, TIFF, etc. Además, muchos programas (como MSPAINT), interpretan el archivo WMF como tal aún cuando lo renombremos como JPG por ejemplo. Esto es porque leen los datos de su cabecera (los llamados “bytes mágicos”), sin tomar en cuenta la extensión. Por esta razón no es válida ninguna solución que pase por filtrar archivos por su extensión o tipo.

– ¿Es vulnerable Google Desktop?

Google Desktop no es directamente vulnerable, pero como dicha aplicación (y otras similares), crean un índice de archivos para hacer su búsqueda más rápida, al momento de indexar archivos con extensión .WMF que contengan el exploit, el mismo es ejecutado. Cómo esto ocurre sin que siquiera el usuario haya intentado abrir o visualizar un archivo vulnerable, aconsejamos no utilizar esta aplicación ni ninguna otra que realice búsquedas de archivos en su computadora.

– ¿Cuál es el uso más extenso que se ha dado al exploit?

Todos los exploits conocidos descargan y ejecutan otros archivos (generalmente troyanos), de Internet. El primer exploit que fue detectado, descrito en nuestro artículo “Alerta: Troyano que se ejecuta mediante archivos WMF”, http://www.vsantivirus.com/28-12-05.htm, creaba un archivo A.EXE que al ejecutarse, intentaba descargar otro archivo desde la web. Actualmente, la mayoría de los exploits al ejecutarse, despliegan alguna clase de alerta de texto, por ejemplo una ventana de información (tipo globo), donde se le indica al usuario que está infectado con algún adware o spyware (“Your computer is infected!”, etc.), y se le pide descargar un programa para limpiar la infección. Muchos de esos programas anti-spywares, figuran en nuestro listado “Anti Spywares sospechosos o no confiables (28/12/05)”, http://www.vsantivirus.com/lista-nospyware.htm).

De todos modos, el escenario no está limitado a este tipo de acción, ya que al poderse ejecutar un código sin el conocimiento del usuario, cualquier acción maliciosa es posible. La razón de que la mayoría de los exploits conocidos a la fecha hagan cosas similares, es porque al haber sido hecho público el código del mismo, cualquiera puede crear su propio troyano. Cómo la mayoría de las personas no tienen los conocimientos necesarios, simplemente se dedican a cortar y pegar, y a cambiar unos pocas líneas del código original.

– ¿Estoy protegido si no utilizo Internet Explorer?

No se está totalmente protegido si se utiliza por ejemplo Firefox en lugar de Internet Explorer. Versiones más antiguas de Firefox (1.0.x), abren las imágenes WMF con el visor de imágenes y fax de Windows y son vulnerables. La versión más reciente (1.5.x), intentan abrirlas con el Reproductor de Windows Media, que no es vulnerable. Opera también abre estas imágenes con el visor de imágenes y fax de Windows. De todos modos, todos estos navegadores le preguntan al usuario si desea abrir dichos archivos.

Además, recuerde que la infección vía Web es solo uno de los escenarios posibles. Basta abrir una carpeta que contenga un archivo WMF para que el exploit se ejecute, siempre que tenga activo el visor de imágenes y fax de Windows. Y en esto no importa que navegador se esté utilizando.

– Microsoft recomienda también utilizar la protección DEP, ¿esto es efectivo?

DEP (Data Execution Prevention o “Prevención de ejecución de datos”), es una característica que se instala en Windows XP SP2, Windows Server 2003 SP1 y Windows XP Tablet PC Edition 2005, y que permite proteger el sistema de la ejecución de código malicioso en alguna parte de la memoria marcada sólo para datos. Esta protección puede aplicarse a nivel de hardware en los equipos más modernos, cuyos microprocesadores contengan dicha función, o en caso contrario a nivel de software. Cuando la protección es a nivel de software solamente (la mayoría de los equipos actuales no lo soporta por hardware aún), entonces el exploit igual se ejecuta. Por lo tanto, no recomendamos este tipo de protección, salvo que usted esté seguro que su computadora soporta esta protección por hardware (esto se explica en el artículo “La vulnerabilidad WMF y la solución basada en DEP”, http://www.vsantivirus.com/30-12-05.htm)

– ¿Que hace exactamente que funcione el exploit?

Aunque actualmente el componente relacionado con el exploit es la biblioteca SHIMGVW.DLL, la razón de que se pueda ejecutar código, está en las características de la interfase gráfica de Windows (Windows Graphic Display Interface o GDI).

La interfase gráfica es la que permite a las aplicaciones utilizar gráficos y textos con formato. Las aplicaciones pueden utilizar llamadas especiales a la GDI para controlar funciones que directamente no podrían hacer, por ejemplo, detener un trabajo de impresión.

Los archivos WMF (Windows Metafile), son archivos gráficos que contienen además secuencias de llamadas a funciones GDI. La imagen es creada (visualizada), ejecutando dichas funciones.

El problema se presenta porque algunas de esas funciones pueden corromperse. El exploit actualmente en circulación, se vale de una función que ya es obsoleta, y se conserva solo por compatibilidad con las versiones de 16 bit de Windows. En concreto, es la secuencia de escape GDI llamada SETABORTPROC, la que el exploit utiliza para ejecutar código de forma arbitraria cuando un archivo WMF es visualizado. Sin embargo, otras funciones similares también podrían ser explotadas en el futuro.

Aunque el exploit actual se basa en el visor de imágenes y fax de Windows (SHIMGVW.DLL), la vulnerabilidad principal se encuentra en la biblioteca de la interfase gráfica propiamente dicha (GDI32.DLL, Windows Graphical Device Interface library). Desregistrar SHIMGVW.DLL solo nos protege del exploit actualmente hecho público. De todos modos, no se conocen al momento exploits para otros componentes relacionados con el GDI.

– ¿Sólo Windows o el Internet Explorer son vulnerables?

Esta vulnerabilidad afecta directa o indirectamente a otras aplicaciones, al momento actual se han confirmado las siguientes:

Google Desktop
Lotus Notes

Otras aplicaciones que visualicen o indexen archivos WMF también son indirectamente vulnerables (Firefox y Opera por ejemplo, aunque según la versión, y con la ventaja de que preguntan al usuario antes de abrir un archivo WMF).

– ¿Cuál es la protección más efectiva?

No existe una protección definitiva, hasta que Microsoft no publique un parche que corrija el problema. Mientras tanto, la que más resultados ha dado en nuestras pruebas, es la de desregistrar el componente SHIMGVW.DLL como se explica en el siguiente artículo:

Vulnerabilidad en visor de imágenes y fax de Windows
http://www.vsantivirus.com/vul-windows-shimgvw-281205.htm

Cómo este tipo de protección crea algunas dificultades a quienes hacen uso intensivo de la capacidad de vistas previas, o aún la de visualización de faxes, hemos creado una pequeña utilidad que puede descargar desde el siguiente enlace:

http://www.videosoft.net.uy/wmf-prot.vbs

Descargue este archivo en su escritorio para que le quede a mano. Cuando usted haga clic en él, una simple ventana de opciones le preguntará lo siguiente:

“Pulse Si para desregistrar No para registrar”

El script solo hace eso. La idea es que le permita quitar la protección (cuando no navegue, y no abra archivos descargados de Internet), y solo lo precise para su trabajo. Luego le aconsejamos que siempre recuerde volver a aplicar la protección (o sea pulsar en SI).

Esta herramienta es muy elemental. Por ejemplo, no discierne si ya ha sido aplicada la protección o no (sólo aplíquela si duda haberlo hecho, ya que no tiene consecuencias secundarias si la acción se repite). Pero la idea es que lo ayude si realmente trabaja con las vistas previas, miniaturas o imágenes que la protección altera. Pero sea consciente que la mayoría del tiempo, debería tener la protección activa. Además, cuando la tenga desactivada, no olvide que si usa programas que indexan archivos (como Google Desktop), podrían ejecutarse exploits de archivos descargados de Internet, por lo que le aconsejamos no instalar herramientas como la de Google.

Aún a pesar de todo ello, aconsejamos precaución extrema a la hora de abrir adjuntos, páginas de Internet o carpetas compartidas por programas P2P que contengan archivos .WMF.

Utilizar un cortafuegos que detecte intentos de conexión desde el PC hacia el exterior (por ejemplo ZoneAlarm), puede ser de gran ayuda a la hora de detener el intento de conexión de un archivo ejecutado por el exploit, cuando intente conectarse a un determinado sitio Web para descargar otros componentes.

Usar un antivirus actualizado es fundamental.

De todos modos, tenga en cuenta que no todas las versiones del exploit son detectadas por todos los antivirus.

Como ejemplo, estas son muestras enviadas a Virus Total apenas hace unos minutos:

Este es el resultado de analizar el archivo “exploit-wmf2.wmf” que VirusTotal ha procesado el dia 31/12/2005 a las 10:07:59 (CET).

AntiVir 6.33.0.70 30.12.2005 no ha encontrado virus
Avast 4.6.695.0 30.12.2005 Win32:Exdown
AVG 718 30.12.2005 no ha encontrado virus
Avira 6.33.0.70 30.12.2005 no ha encontrado virus
BitDefender 7.2 31.12.2005 Exploit.Win32.WMF-PFV
CAT-QuickHeal 8.00 31.12.2005 no ha encontrado virus
ClamAV devel-20051123 29.12.2005 no ha encontrado virus
DrWeb 4.33 30.12.2005 no ha encontrado virus
eTrust-Iris 7.1.194.0 30.12.2005 no ha encontrado virus
eTrust-Vet 12.4.1.0 31.12.2005 no ha encontrado virus
Ewido 3.5 30.12.2005 no ha encontrado virus
Fortinet 2.54.0.0 31.12.2005 no ha encontrado virus
F-Prot 3.16c 30.12.2005 no ha encontrado virus
Ikarus 0.2.59.0 30.12.2005 no ha encontrado virus
Kaspersky 4.0.2.24 31.12.2005 Exploit.Win32.IMG-WMF
McAfee 4663 30.12.2005 Exploit-WMF
NOD32v2 1.1347 30.12.2005 variant of Win32/Exploit.WMF
Norman 5.70.10 31.12.2005 W32/Exploit.Gen
Panda 9.0.0.4 30.12.2005 Exploit/WMF
Sophos 4.01.0 30.12.2005 no ha encontrado virus
Symantec 8.0 31.12.2005 no ha encontrado virus
TheHacker 5.9.1.064 29.12.2005 no ha encontrado virus
UNA 1.83 30.12.2005 no ha encontrado virus
VBA32 3.10.5 30.12.2005 no ha encontrado virus

Este es el resultado de analizar el archivo “exploit-wmf3.wmf” que VirusTotal ha procesado el dia 31/12/2005 a las 10:12:36 (CET).

AntiVir 6.33.0.70 30.12.2005 no ha encontrado virus
Avast 4.6.695.0 30.12.2005 no ha encontrado virus
AVG 718 30.12.2005 no ha encontrado virus
Avira 6.33.0.70 30.12.2005 no ha encontrado virus
BitDefender 7.2 31.12.2005 Exploit.Win32.WMF-PFV
CAT-QuickHeal 8.00 31.12.2005 no ha encontrado virus
ClamAV devel-20051123 29.12.2005 no ha encontrado virus
DrWeb 4.33 30.12.2005 no ha encontrado virus
eTrust-Iris 7.1.194.0 30.12.2005 no ha encontrado virus
eTrust-Vet 12.4.1.0 31.12.2005 no ha encontrado virus
Ewido 3.5 30.12.2005 no ha encontrado virus
Fortinet 2.54.0.0 31.12.2005 no ha encontrado virus
F-Prot 3.16c 30.12.2005 no ha encontrado virus
Ikarus 0.2.59.0 30.12.2005 no ha encontrado virus
Kaspersky 4.0.2.24 31.12.2005 no ha encontrado virus
McAfee 4663 30.12.2005 Exploit-WMF
NOD32v2 1.1347 30.12.2005 variant of Win32/Exploit.WMF
Norman 5.70.10 31.12.2005 W32/Exploit.Gen
Panda 9.0.0.4 30.12.2005 Exploit/WMF
Sophos 4.01.0 30.12.2005 no ha encontrado virus
Symantec 8.0 31.12.2005 no ha encontrado virus
TheHacker 5.9.1.064 28.12.2005 no ha encontrado virus
UNA 1.83 30.12.2005 no ha encontrado virus
VBA32 3.10.5 30.12.2005 no ha encontrado virus

Más información:

Alerta: Troyano que se ejecuta mediante archivos WMF
http://www.vsantivirus.com/28-12-05.htm

Vulnerabilidad en visor de imágenes y fax de Windows
http://www.vsantivirus.com/vul-windows-shimgvw-281205.htm

TrojanDownloader.Wmfex. Detección para exploit WMF
http://www.vsantivirus.com/trojandownloader-wmfex.htm

La vulnerabilidad WMF y la solución basada en DEP
http://www.vsantivirus.com/30-12-05.htm

Referencias

Vulnerability Note VU#181038
Microsoft Windows Metafile handler SETABORTPROC GDI vulnerability
http://www.kb.cert.org/vuls/id/181038

Microsoft Windows Metafile Handling Buffer Overflow
http://www.us-cert.gov/cas/techalerts/TA05-362A.html

Microsoft Security Advisory (912840)
Vulnerability in Graphics Rendering Engine Could Allow Remote Code Execution.
http://www.microsoft.com/technet/security/advisory/912840.mspx

Windows WMF 0-day exploit in the wild
http://isc.sans.org/diary.php?rss&storyid=972

Update on Windows WMF 0-day
http://isc.sans.org/diary.php?storyid=975

Microsoft Windows WMF “SETABORTPROC” Arbitrary Code Execution
http://secunia.com/advisories/18255/

Microsoft Windows Graphics Rendering Engine
WMF Format Unspecified Code Execution Vulnerability
http://www.securityfocus.com/bid/16074

Q-085: Microsoft Windows Metafile File (WMF) Handling Vulnerability
[US-CERT Vulnerability Note VU#181038]
http://www.ciac.org/ciac/bulletins/q-085.shtml

Microsoft Windows WMF Handling Remote Code Execution Vulnerability
http://www.juniper.net/security/auto/vulnerabilities/vuln2830.html

F-Secure weblog
http://www.f-secure.com/weblog/archives/archive-122005.html#00000755

(*) Jose Luis Lopez es el responsable de contenidos de VSAntivirus.com, y director técnico y gerente general de NOD32 Uruguay.

[Última modificación: 31/12/05 18:19 -0200]

Todo lo que hay que saber sobre el exploit WMF

diciembre 31, 2005 § Deja un comentario

Fuente: http://www.vsantivirus.com/faq-wmf-exploit.htm

Por Jose Luis Lopez (*)
videosoft@videosoft.net.uy

Esta información está recogida de diferentes fuentes (algunas de las cuáles se mencionan al final de este artículo), y también de diversas pruebas que hemos realizado en nuestro laboratorio.

– ¿Abrir un archivo WMF con un editor como MSPAINT es seguro?

No, no es seguro aunque usted haya desregistrado el componente SHIMGVW.DLL. Incluso si un archivo .WMF es renombrado, MSPAINT (Paint), el editor de imágenes que trae Windows por defecto, abre el archivo y eso provoca la ejecución del exploit.

– ¿Utilizar un visualizador de terceros, como IrfanView o ACDSEE es seguro?

No, no lo es. Aunque se haya desregistrado SHIMGVW.DLL, al abrir un archivo .WMF con el IrfanView o IrfanView Thumbnails, puede provocar la ejecución del exploit.

– ¿Cuántos sitios o troyanos explotan actualmente esta vulnerabilidad?

La cantidad de sitios y de troyanos que se aprovechan de esta vulnerabilidad aumenta todos los días. Ya no es práctico tampoco filtrar algunos sitios como muchos aconsejaron al comienzo, ya que esta cantidad es enorme, y además cambia segundo a segundo.

– ¿Es seguro filtrar solo archivos con extensión .WMF?

No, no es seguro. Existen métodos para explotar esta vulnerabilidad utilizando otras extensiones asociadas al visor de imágenes y fax de Windows, como por ejemplo BMP, DIB, EMF, GIF, ICO, JFIF, JPE, JPEG, JPG, PNG, RLE, TIF, TIFF, etc. Además, muchos programas (como MSPAINT), interpretan el archivo WMF como tal aún cuando lo renombremos como JPG por ejemplo. Esto es porque leen los datos de su cabecera (los llamados “bytes mágicos”), sin tomar en cuenta la extensión. Por esta razón no es válida ninguna solución que pase por filtrar archivos por su extensión o tipo.

– ¿Es vulnerable Google Desktop?

Google Desktop no es directamente vulnerable, pero como dicha aplicación (y otras similares), crean un índice de archivos para hacer su búsqueda más rápida, al momento de indexar archivos con extensión .WMF que contengan el exploit, el mismo es ejecutado. Cómo esto ocurre sin que siquiera el usuario haya intentado abrir o visualizar un archivo vulnerable, aconsejamos no utilizar esta aplicación ni ninguna otra que realice búsquedas de archivos en su computadora.

– ¿Cuál es el uso más extenso que se ha dado al exploit?

Todos los exploits conocidos descargan y ejecutan otros archivos (generalmente troyanos), de Internet. El primer exploit que fue detectado, descrito en nuestro artículo “Alerta: Troyano que se ejecuta mediante archivos WMF”, http://www.vsantivirus.com/28-12-05.htm, creaba un archivo A.EXE que al ejecutarse, intentaba descargar otro archivo desde la web. Actualmente, la mayoría de los exploits al ejecutarse, despliegan alguna clase de alerta de texto, por ejemplo una ventana de información (tipo globo), donde se le indica al usuario que está infectado con algún adware o spyware (“Your computer is infected!”, etc.), y se le pide descargar un programa para limpiar la infección. Muchos de esos programas anti-spywares, figuran en nuestro listado “Anti Spywares sospechosos o no confiables (28/12/05)”, http://www.vsantivirus.com/lista-nospyware.htm).

De todos modos, el escenario no está limitado a este tipo de acción, ya que al poderse ejecutar un código sin el conocimiento del usuario, cualquier acción maliciosa es posible. La razón de que la mayoría de los exploits conocidos a la fecha hagan cosas similares, es porque al haber sido hecho público el código del mismo, cualquiera puede crear su propio troyano. Cómo la mayoría de las personas no tienen los conocimientos necesarios, simplemente se dedican a cortar y pegar, y a cambiar unos pocas líneas del código original.

– ¿Estoy protegido si no utilizo Internet Explorer?

No se está totalmente protegido si se utiliza por ejemplo Firefox en lugar de Internet Explorer. Versiones más antiguas de Firefox (1.0.x), abren las imágenes WMF con el visor de imágenes y fax de Windows y son vulnerables. La versión más reciente (1.5.x), intentan abrirlas con el Reproductor de Windows Media, que no es vulnerable. Opera también abre estas imágenes con el visor de imágenes y fax de Windows. De todos modos, todos estos navegadores le preguntan al usuario si desea abrir dichos archivos.

Además, recuerde que la infección vía Web es solo uno de los escenarios posibles. Basta abrir una carpeta que contenga un archivo WMF para que el exploit se ejecute, siempre que tenga activo el visor de imágenes y fax de Windows. Y en esto no importa que navegador se esté utilizando.

– Microsoft recomienda también utilizar la protección DEP, ¿esto es efectivo?

DEP (Data Execution Prevention o “Prevención de ejecución de datos”), es una característica que se instala en Windows XP SP2, Windows Server 2003 SP1 y Windows XP Tablet PC Edition 2005, y que permite proteger el sistema de la ejecución de código malicioso en alguna parte de la memoria marcada sólo para datos. Esta protección puede aplicarse a nivel de hardware en los equipos más modernos, cuyos microprocesadores contengan dicha función, o en caso contrario a nivel de software. Cuando la protección es a nivel de software solamente (la mayoría de los equipos actuales no lo soporta por hardware aún), entonces el exploit igual se ejecuta. Por lo tanto, no recomendamos este tipo de protección, salvo que usted esté seguro que su computadora soporta esta protección por hardware (esto se explica en el artículo “La vulnerabilidad WMF y la solución basada en DEP”, http://www.vsantivirus.com/30-12-05.htm)

– ¿Que hace exactamente que funcione el exploit?

Aunque actualmente el componente relacionado con el exploit es la biblioteca SHIMGVW.DLL, la razón de que se pueda ejecutar código, está en las características de la interfase gráfica de Windows (Windows Graphic Display Interface o GDI).

La interfase gráfica es la que permite a las aplicaciones utilizar gráficos y textos con formato. Las aplicaciones pueden utilizar llamadas especiales a la GDI para controlar funciones que directamente no podrían hacer, por ejemplo, detener un trabajo de impresión.

Los archivos WMF (Windows Metafile), son archivos gráficos que contienen además secuencias de llamadas a funciones GDI. La imagen es creada (visualizada), ejecutando dichas funciones.

El problema se presenta porque algunas de esas funciones pueden corromperse. El exploit actualmente en circulación, se vale de una función que ya es obsoleta, y se conserva solo por compatibilidad con las versiones de 16 bit de Windows. En concreto, es la secuencia de escape GDI llamada SETABORTPROC, la que el exploit utiliza para ejecutar código de forma arbitraria cuando un archivo WMF es visualizado. Sin embargo, otras funciones similares también podrían ser explotadas en el futuro.

Aunque el exploit actual se basa en el visor de imágenes y fax de Windows (SHIMGVW.DLL), la vulnerabilidad principal se encuentra en la biblioteca de la interfase gráfica propiamente dicha (GDI32.DLL, Windows Graphical Device Interface library). Desregistrar SHIMGVW.DLL solo nos protege del exploit actualmente hecho público. De todos modos, no se conocen al momento exploits para otros componentes relacionados con el GDI.

– ¿Sólo Windows o el Internet Explorer son vulnerables?

Esta vulnerabilidad afecta directa o indirectamente a otras aplicaciones, al momento actual se han confirmado las siguientes:

Google Desktop
Lotus Notes

Otras aplicaciones que visualicen o indexen archivos WMF también son indirectamente vulnerables (Firefox y Opera por ejemplo, aunque según la versión, y con la ventaja de que preguntan al usuario antes de abrir un archivo WMF).

– ¿Cuál es la protección más efectiva?

No existe una protección definitiva, hasta que Microsoft no publique un parche que corrija el problema. Mientras tanto, la que más resultados ha dado en nuestras pruebas, es la de desregistrar el componente SHIMGVW.DLL como se explica en el siguiente artículo:

Vulnerabilidad en visor de imágenes y fax de Windows
http://www.vsantivirus.com/vul-windows-shimgvw-281205.htm

Cómo este tipo de protección crea algunas dificultades a quienes hacen uso intensivo de la capacidad de vistas previas, o aún la de visualización de faxes, hemos creado una pequeña utilidad que puede descargar desde el siguiente enlace:

http://www.videosoft.net.uy/wmf-prot.vbs

Descargue este archivo en su escritorio para que le quede a mano. Cuando usted haga clic en él, una simple ventana de opciones le preguntará lo siguiente:

“Pulse Si para desregistrar No para registrar”

El script solo hace eso. La idea es que le permita quitar la protección (cuando no navegue, y no abra archivos descargados de Internet), y solo lo precise para su trabajo. Luego le aconsejamos que siempre recuerde volver a aplicar la protección (o sea pulsar en SI).

Esta herramienta es muy elemental. Por ejemplo, no discierne si ya ha sido aplicada la protección o no (sólo aplíquela si duda haberlo hecho, ya que no tiene consecuencias secundarias si la acción se repite). Pero la idea es que lo ayude si realmente trabaja con las vistas previas, miniaturas o imágenes que la protección altera. Pero sea consciente que la mayoría del tiempo, debería tener la protección activa. Además, cuando la tenga desactivada, no olvide que si usa programas que indexan archivos (como Google Desktop), podrían ejecutarse exploits de archivos descargados de Internet, por lo que le aconsejamos no instalar herramientas como la de Google.

Aún a pesar de todo ello, aconsejamos precaución extrema a la hora de abrir adjuntos, páginas de Internet o carpetas compartidas por programas P2P que contengan archivos .WMF.

Utilizar un cortafuegos que detecte intentos de conexión desde el PC hacia el exterior (por ejemplo ZoneAlarm), puede ser de gran ayuda a la hora de detener el intento de conexión de un archivo ejecutado por el exploit, cuando intente conectarse a un determinado sitio Web para descargar otros componentes.

Usar un antivirus actualizado es fundamental.

De todos modos, tenga en cuenta que no todas las versiones del exploit son detectadas por todos los antivirus.

Como ejemplo, estas son muestras enviadas a Virus Total apenas hace unos minutos:

Este es el resultado de analizar el archivo “exploit-wmf2.wmf” que VirusTotal ha procesado el dia 31/12/2005 a las 10:07:59 (CET).

AntiVir 6.33.0.70 30.12.2005 no ha encontrado virus
Avast 4.6.695.0 30.12.2005 Win32:Exdown
AVG 718 30.12.2005 no ha encontrado virus
Avira 6.33.0.70 30.12.2005 no ha encontrado virus
BitDefender 7.2 31.12.2005 Exploit.Win32.WMF-PFV
CAT-QuickHeal 8.00 31.12.2005 no ha encontrado virus
ClamAV devel-20051123 29.12.2005 no ha encontrado virus
DrWeb 4.33 30.12.2005 no ha encontrado virus
eTrust-Iris 7.1.194.0 30.12.2005 no ha encontrado virus
eTrust-Vet 12.4.1.0 31.12.2005 no ha encontrado virus
Ewido 3.5 30.12.2005 no ha encontrado virus
Fortinet 2.54.0.0 31.12.2005 no ha encontrado virus
F-Prot 3.16c 30.12.2005 no ha encontrado virus
Ikarus 0.2.59.0 30.12.2005 no ha encontrado virus
Kaspersky 4.0.2.24 31.12.2005 Exploit.Win32.IMG-WMF
McAfee 4663 30.12.2005 Exploit-WMF
NOD32v2 1.1347 30.12.2005 variant of Win32/Exploit.WMF
Norman 5.70.10 31.12.2005 W32/Exploit.Gen
Panda 9.0.0.4 30.12.2005 Exploit/WMF
Sophos 4.01.0 30.12.2005 no ha encontrado virus
Symantec 8.0 31.12.2005 no ha encontrado virus
TheHacker 5.9.1.064 29.12.2005 no ha encontrado virus
UNA 1.83 30.12.2005 no ha encontrado virus
VBA32 3.10.5 30.12.2005 no ha encontrado virus

Este es el resultado de analizar el archivo “exploit-wmf3.wmf” que VirusTotal ha procesado el dia 31/12/2005 a las 10:12:36 (CET).

AntiVir 6.33.0.70 30.12.2005 no ha encontrado virus
Avast 4.6.695.0 30.12.2005 no ha encontrado virus
AVG 718 30.12.2005 no ha encontrado virus
Avira 6.33.0.70 30.12.2005 no ha encontrado virus
BitDefender 7.2 31.12.2005 Exploit.Win32.WMF-PFV
CAT-QuickHeal 8.00 31.12.2005 no ha encontrado virus
ClamAV devel-20051123 29.12.2005 no ha encontrado virus
DrWeb 4.33 30.12.2005 no ha encontrado virus
eTrust-Iris 7.1.194.0 30.12.2005 no ha encontrado virus
eTrust-Vet 12.4.1.0 31.12.2005 no ha encontrado virus
Ewido 3.5 30.12.2005 no ha encontrado virus
Fortinet 2.54.0.0 31.12.2005 no ha encontrado virus
F-Prot 3.16c 30.12.2005 no ha encontrado virus
Ikarus 0.2.59.0 30.12.2005 no ha encontrado virus
Kaspersky 4.0.2.24 31.12.2005 no ha encontrado virus
McAfee 4663 30.12.2005 Exploit-WMF
NOD32v2 1.1347 30.12.2005 variant of Win32/Exploit.WMF
Norman 5.70.10 31.12.2005 W32/Exploit.Gen
Panda 9.0.0.4 30.12.2005 Exploit/WMF
Sophos 4.01.0 30.12.2005 no ha encontrado virus
Symantec 8.0 31.12.2005 no ha encontrado virus
TheHacker 5.9.1.064 28.12.2005 no ha encontrado virus
UNA 1.83 30.12.2005 no ha encontrado virus
VBA32 3.10.5 30.12.2005 no ha encontrado virus

Más información:

Alerta: Troyano que se ejecuta mediante archivos WMF
http://www.vsantivirus.com/28-12-05.htm

Vulnerabilidad en visor de imágenes y fax de Windows
http://www.vsantivirus.com/vul-windows-shimgvw-281205.htm

TrojanDownloader.Wmfex. Detección para exploit WMF
http://www.vsantivirus.com/trojandownloader-wmfex.htm

La vulnerabilidad WMF y la solución basada en DEP
http://www.vsantivirus.com/30-12-05.htm

Referencias

Vulnerability Note VU#181038
Microsoft Windows Metafile handler SETABORTPROC GDI vulnerability
http://www.kb.cert.org/vuls/id/181038

Microsoft Windows Metafile Handling Buffer Overflow
http://www.us-cert.gov/cas/techalerts/TA05-362A.html

Microsoft Security Advisory (912840)
Vulnerability in Graphics Rendering Engine Could Allow Remote Code Execution.
http://www.microsoft.com/technet/security/advisory/912840.mspx

Windows WMF 0-day exploit in the wild
http://isc.sans.org/diary.php?rss&storyid=972

Update on Windows WMF 0-day
http://isc.sans.org/diary.php?storyid=975

Microsoft Windows WMF “SETABORTPROC” Arbitrary Code Execution
http://secunia.com/advisories/18255/

Microsoft Windows Graphics Rendering Engine
WMF Format Unspecified Code Execution Vulnerability
http://www.securityfocus.com/bid/16074

Q-085: Microsoft Windows Metafile File (WMF) Handling Vulnerability
[US-CERT Vulnerability Note VU#181038]
http://www.ciac.org/ciac/bulletins/q-085.shtml

Microsoft Windows WMF Handling Remote Code Execution Vulnerability
http://www.juniper.net/security/auto/vulnerabilities/vuln2830.html

F-Secure weblog
http://www.f-secure.com/weblog/archives/archive-122005.html#00000755

(*) Jose Luis Lopez es el responsable de contenidos de VSAntivirus.com, y director técnico y gerente general de NOD32 Uruguay.

[Última modificación: 31/12/05 18:19 -0200]

Agujero de seguridad de Windows puede ser explotado vía e-mail

diciembre 31, 2005 § Deja un comentario

Fuente: http://www.diarioti.com/gate/n.php?id=10281

Los intrusos informáticos no sólo tienen la posibilidad de atacar a usuarios de Internet mediante la recientemente descubierta vulnerabilidad de Windows. Según expertos, también es posible usar el correo electrónico y la mensajería instantánea.

La explotación del grave agujero de seguridad de Windows anunciado la víspera podría prepararse con gran rapidez. Al respecto, la compañía CSIS ha informado sobre la detección de los primeros casos de código maligno propagado mediante correo electrónico y mensajería instantánea.

En las horas siguientes a la primera detección de la vulnerabilidad, ésta estaba siendo aprovechada en sitios de descarga de software pirateado, pornografía, y códigos de los denominados “cracks” de software. El concreto, la vulnerabilidad se encuentra en Windows Picture and Fax Viewer.

CSIS califica la vulnerabilidad de “extremadamente crítica”, debido a que puede ser explotada incluso en sistemas Windows 2003 y Windows XP totalmente actualizados. Se trata además de una vulnerabilidad “de primer día”, contra la que ni Microsoft ni las compañías de seguridad informática tienen antídoto alguno.

Mediante la ejecución de los archivos WMF, los intrusos pueden instalar código maligno en un sistema vulnerado. Al cambiar el nombre de la raíz de un archivo WMF por GIF o JPG, y enviarla como anexo en un mensaje de correo electrónico o en un diálogo de mensajería instantánea, es posible infectar un PC sin que el usuario siquiera haya visitado un sitio maligno en Internet.

CSIS recuerda que en la versión más reciente de Outlook (2003) es posible desactivar la función de visualización de imágenes. Sin embargo, en otras versiones de Outlook y Outlook Express es posible que el código entre al sistema sin ser detectado ni por software antivirus ni por cortafuegos.

Agujero de seguridad de Windows puede ser explotado vía e-mail

diciembre 31, 2005 § Deja un comentario

Fuente: http://www.diarioti.com/gate/n.php?id=10281

Los intrusos informáticos no sólo tienen la posibilidad de atacar a usuarios de Internet mediante la recientemente descubierta vulnerabilidad de Windows. Según expertos, también es posible usar el correo electrónico y la mensajería instantánea.

La explotación del grave agujero de seguridad de Windows anunciado la víspera podría prepararse con gran rapidez. Al respecto, la compañía CSIS ha informado sobre la detección de los primeros casos de código maligno propagado mediante correo electrónico y mensajería instantánea.

En las horas siguientes a la primera detección de la vulnerabilidad, ésta estaba siendo aprovechada en sitios de descarga de software pirateado, pornografía, y códigos de los denominados “cracks” de software. El concreto, la vulnerabilidad se encuentra en Windows Picture and Fax Viewer.

CSIS califica la vulnerabilidad de “extremadamente crítica”, debido a que puede ser explotada incluso en sistemas Windows 2003 y Windows XP totalmente actualizados. Se trata además de una vulnerabilidad “de primer día”, contra la que ni Microsoft ni las compañías de seguridad informática tienen antídoto alguno.

Mediante la ejecución de los archivos WMF, los intrusos pueden instalar código maligno en un sistema vulnerado. Al cambiar el nombre de la raíz de un archivo WMF por GIF o JPG, y enviarla como anexo en un mensaje de correo electrónico o en un diálogo de mensajería instantánea, es posible infectar un PC sin que el usuario siquiera haya visitado un sitio maligno en Internet.

CSIS recuerda que en la versión más reciente de Outlook (2003) es posible desactivar la función de visualización de imágenes. Sin embargo, en otras versiones de Outlook y Outlook Express es posible que el código entre al sistema sin ser detectado ni por software antivirus ni por cortafuegos.

Agujero de seguridad de Windows puede ser explotado vía e-mail

diciembre 31, 2005 § Deja un comentario

Fuente: http://www.diarioti.com/gate/n.php?id=10281

Los intrusos informáticos no sólo tienen la posibilidad de atacar a usuarios de Internet mediante la recientemente descubierta vulnerabilidad de Windows. Según expertos, también es posible usar el correo electrónico y la mensajería instantánea.

La explotación del grave agujero de seguridad de Windows anunciado la víspera podría prepararse con gran rapidez. Al respecto, la compañía CSIS ha informado sobre la detección de los primeros casos de código maligno propagado mediante correo electrónico y mensajería instantánea.

En las horas siguientes a la primera detección de la vulnerabilidad, ésta estaba siendo aprovechada en sitios de descarga de software pirateado, pornografía, y códigos de los denominados “cracks” de software. El concreto, la vulnerabilidad se encuentra en Windows Picture and Fax Viewer.

CSIS califica la vulnerabilidad de “extremadamente crítica”, debido a que puede ser explotada incluso en sistemas Windows 2003 y Windows XP totalmente actualizados. Se trata además de una vulnerabilidad “de primer día”, contra la que ni Microsoft ni las compañías de seguridad informática tienen antídoto alguno.

Mediante la ejecución de los archivos WMF, los intrusos pueden instalar código maligno en un sistema vulnerado. Al cambiar el nombre de la raíz de un archivo WMF por GIF o JPG, y enviarla como anexo en un mensaje de correo electrónico o en un diálogo de mensajería instantánea, es posible infectar un PC sin que el usuario siquiera haya visitado un sitio maligno en Internet.

CSIS recuerda que en la versión más reciente de Outlook (2003) es posible desactivar la función de visualización de imágenes. Sin embargo, en otras versiones de Outlook y Outlook Express es posible que el código entre al sistema sin ser detectado ni por software antivirus ni por cortafuegos.

¿Dónde estoy?

Actualmente estás viendo los archivos para diciembre, 2005 en Seguridad Informática.