He leido en algunos foros algo sobre una vulnerabilidad gravísima en windows, explotada mediante archivos WMF... no se si es del todo verdad pero os pego un texto. ¿Sabéis algo al respecto?
vulnerabilidad GRAVISIMA en windows!!!!!!!!!
Os pongo de que va el asunto y la unica forma de defenderse de momento....
Se ha detectado un fallo de seguridad gravísimo que afecta a todas las versiones de Windows (NO a Mac OS X, ni a Linux, a BSD o a ningún otro sistema operativo).
Es especialmente grave, porque es de los que se denominan "día 0", es decir, que se está explotando YA antes de que Microsoft publique un parche.
Los de SANS han publicado una FAQ en inglés. Yo les acabo de enviar una traducción a español, pero no se si la colocarán, ni cuándo. La incluyo más abajo.
Por lo demás, el tema es muy grave, los posibles vectores de ataque muy numerosos, y la fuente de información (SANS) es muy fiable. Algunos de los principales profesionales de la seguridad son miembros de SANS.
FAQ del fallo de seguridad de WMF
- ¿Por qué es tan importante este problema?
Esta vulnerabilidad utiliza imágenes (archivos WMF) para ejecutar código arbitrario. Se ejecutará simplemente por visualizar la imagen. No es necesario "pinchar" nada ni aceptar. Incluso las imágenes almacenadas en el disco del usuario pueden ser peligrosas si se las referencia desde algún programa de búsqueda o índice del contenido del disco. Al examinar un directorio de imágenes con la vista previa de las mismas en forma de iconos también se puede explotar la vulnerabilidad.
- ¿Qué es mejor utilizar? ¿Firefox o Explorer?
Internet Explorer puede mostrar la imagen y, por tanto, activar el código sin previo aviso. Las nuevas versiones de Firefox preguntarán al usuario antes de abrir la imagen. Sin embargo, en la mayor parte de los entornos esto ofrece una protección muy limitada ya que se trata de imágenes y en general se consideran inofensivas.
- ¿A qué versiones de Windows afecta?
A todas. Windows 2000, Windows XP (SP1 y SP2), y Windows 2003. Todos están afectados de alguna manera. Mac OS X, Unix o BSD no se ven afectados.
Nota: Si usted está utilizando aún Windows 98 ó ME, es un mal momento. Creemos (no ha sido probado completamente) que también son vulnerables y no habrá parche de Microsoft. Las opciones para protegerse son, por tanto, muy limitadas. Necesita actualizar lo antes posible.
- ¿Qué puedo hacer para protegerme?
1. Microsoft no ha publicado un parche aún. Ilfak Guilfanov distribye un parche extraoficial. Tom Liston, miembro de nuestro equipo, examinó el parche y nosotros lo hemos comprobado. La versión revisada y comprobada está disponible en .... (URL)....
2. Puede eliminar la DLL afectada
3. Los antivirus pueden proporcionar una protección limitada
Para desactivar la DLL:
- Pinche "Inicio", "Ejecutar", y teclee "regsvr32 -u %windir%\system32\shimgvw.dll" (sin las comillas). Después, "aceptar".
- Aparecerá una ventana indicando que la desactivación ha tenido éxito. Pinche "aceptar" para cerrarla.
****NUESTRA RECOMENDACIÓN OFICIAL ES QUE POR EL MOMENTO HAGA _AMBAS_ COSAS. ELIMINE LA DLL Y UTILICE EL PARCHE EXTRAOFICIAL****
- ¿Cómo funciona el parche extraoficial?
La librería wmfhotfix.dll se añade a cualquier proceso que cargue user32.dll. La DLL entonces modifica (en memoria), la función Escape() de gdi32.dll de manera que ésta ignore cualquier llamada que utilice el parámetro SETABORTPROC (es decir, 0x90). Esto debería permitir a los programas en Windows visualizar imágenes WMF correctamente, pero bloqueando la vulnerabilidad. La versión del parche disponible aquí (URL) ha sido cuidadosamente revisada y comprobada con todas las versiones conocidas de los programas que explotan la vulnerabilidad. Debería funcionar en Windows XP (SP1 y SP2) y Windows 2000.
- ¿Me protegerá el desactivar la DLL (sin utilizar el parche)?
Podría ayudar, pero no es infalible. Queremos dejarlo muy claro. Tenemos algunos indicios muy fiables de que simplemente desactivar shimgvw.dll no siempre es suficiente. Puede ser reactivada por algún programa malicioso simplemente por la instalación de algún programa, y podrían darse casos de reactivación de la dll en sistemas en funcionamiento que se han visto afectados, haciendo que el ataque tuviera éxito. Además, puede que existan otras vías de ataque contra la función Escape() de gdi32.dll. Hasta que haya un parche de Microsoft disponible, recomendamos utilizar el extraoficial además de desactivar shimgvw.dll.
- ¿Debería simplemente borrar la DLL?
Podría no ser mala idea, pero la protección de archivos de Microsoft probablemente la reemplazará. Debería desactivar la función de protección de archivos primero. Además, cuando el parche definitivo esté disponible necesitará reemplazar la DLL. Renombrarla, en lugar de borrarla, es probablemente una opción mejor, de manera que siga disponible para cuando se instale el parche.
- ¿Debería simplemente bloquear los archivos WMF?
Podría ayudar, pero no es suficiente. Los archivos WMF se identifican por una cabecera especial y no se necesita la extensión. Los archivos podrían llegar con una extensión diferente, sin extensión, o incluso embebidos en documentos Word o de otro tipo.
- ¿Qué es DEP (Protección contra ejecución de datos) y cómo puede ayudarme?
Con Windows XP SP2, Microsoft presentó DEP. Protege contra una amplia gama de ataques, evitando que se puedan ejecutar programas desde "segmentos de datos". Sin embargo, para funcionar necesita soporte por parte del hardware. Algunos procesadores, como los de 64 bit de AMD, proporcionan protección DEP completa y evitarán el ataque.
- ¿Cómo son de eficaces los antivirus para detectar el ataque?
En este momento estamos al corriente de que existen versiones del ataque que no detectan los antivirus, aunque esperamos que los fabricantes se pondrán al día rápidamente. Sin embargo, puede ser una dura batalla. Sistemas antivirus actualizados son necesarios pero es probable que no sean suficientes.
- ¿Cómo podría entrar en mi sistema un archivo WMF malicioso?
Hay demasiadas vías como para mencionarlas todas. Archivos adjuntos de correo electrónico, páginas web y mensajería instantánea son las fuentes más probables. No olvide además las redes P2P y otras fuentes.
- ¿Es suficiente con advertir a mis usuarios para que no visiten páginas web que no sean de confianza?
No. Ayuda pero no es en absoluto suficiente. Hemos visto al menos un web de confianza comprometido (knoppix-std.org). Como parte del ataque se añadió un "frame" que redirigía a los usuarios a un archivo WMF corrompido. Se han utilizado sitios web "de confianza" de formas similares en el pasado.
- ¿Cuál es en realidad el problema con los archivos WMF?
Los archivos WMF son algo diferentes de otros formatos de imagen. En lugar de contener simplemente pixels y colores los archivos WMF pueden llamar a subprogramas externos. Una de esas llamadas puede utilizarse para ejecutar código.
- ¿Debería usar algo similar a "dropmyrights" para reducir el impacto de la vulnerabilidad?
Definitivamente, sí. Además, evite trabajar como administrador para el trabajo del día a día. Sin embargo, esto solamente reducirá el impacto de la vulnerabilidad y no evitará que se pueda explotar. Además, visitar una página web es solamente una de las formas posibles de activar el ataque. Si la imagen queda almacenada en su sistema y posteriormente es visualizada por un administrador, podría verse afectado.
- ¿Son vulnerables mis servidores?
Quizás. ¿Permite que se almacenen imágenes? ¿Correo electrónico? ¿Se generan índices de esas imágenes? ¿Utiliza en ocasiones un navegador web para acceder al servidor? En resumen: si alguien puede copiar una imagen a su servidor, y alguna DLL la examina, su servidor puede muy bien ser vulnerable.
- ¿Qué puedo hacer en el perímetro para proteger mi red?
No mucho. ¿Un proxy que elimine todas las imágenes de las páginas web? Probablemente no siente muy bien a sus usuarios. Al menos bloquee las imágenes .WMF (lea más arriba sobre las extensiones). Si su proxy tiene algún tipo de antivirus, podría proteger algo. Lo mismo se aplica a los servidores de correo. Cuanto más limite la capacidad de sus usuarios para conectarse al exterior, mejor. Una monitorización cuidadosa de las estaciones de trabajo de los usuarios puede ayudar a obtener indicios de que una estación está comprometida.
- ¿Puedo utilizar un IDS (detector de intrusos) para detectar el ataque?
Casi todos los fabricantes de IDSs están trabajando en las firmas. Póngase en contacto con el suyo para conocer los detalles. bleedingsnort.org está actualizando algunas firmas de forma permanente para usuarios de Snort.
- Si me veo afectado, ¿qué puedo hacer?
No mucho Enfurruñado. Depende mucho de la versión exacta del ataque que le haya afectado. La mayor parte de ellas descargarán componentes adicionales. Puede ser muy difícil, incluso imposible, encontrar todos los componentes. Microsoft ofrece un soporte gratuito para casos como éste en el número 1-866-727-2389.
- ¿Ha dicho algo Microsoft al respecto?
http://www.microsoft.com/technet/security/...ory/912840.mspx (en inglés) pero no hay aún un parche disponible.
- ¿Qué ha publicado el CERT?
(en inglés)
http://www.kb.cert.org/vuls/id/181038
http://www.cve.mitre.org/cgi-bin/cvename.c...e=CVE-2005-4560
Un saludo!
![[looco]](/images/smilies/nuevos2/borracho.gif "loco")
le da por meter contenido java en una supuesta imagen PNG o un supuesto audio. os lo comereis, no se os pedira permiso para ejecutarse...
y eso es desde SIEMPRE...
![[beer]](/images/smilies/nuevos2/brindando.gif "brindis")
![[qmparto]](/images/smilies/net_quemeparto.gif "Que me parto!")
![[jaja]](/images/smilies/nuevos2/otrasonrisa.gif "otra sonrisa")
