Vulnerabilidad en Windows al procesar archivos de imagen WMF esta siendo explotada (WMF 0-day)

Por marcelo-ar - 28 de Diciembre, 2005, 1:54, Categoría: General

[Nota: Post inicial publicado el 28/12/2005 a las 01:54 a.m. Arg. (GMT -3:00)]
[Última actualización: 30/12/2005, 00:55 a.m. Arg.]
En la lista Bugtraq fue publicado el enlace a un sitio malicioso que explota una nueva vulnerabilidad en el proceso de archivos de imágen WMF.
Dicho sitio descarga el código malicioso y lo ejecuta.
El autor del mensaje comenta que F-Secure detecta el virus, pero Norton Antivirus no lo detecta. [Ver Actualización #6 al final de este post]
Referencias:
Lista de correo Bugtraq
http://www.securityfocus.com/archive/1/420288

[Actualización #1]
Se trata de una nueva vulnerabilidad en el proceso de archivos WMF, la cual no es resuelta por la actualización 896424 (MS05-053) descripta en este post, de modo que por el momento no existe parche para la misma.
Referencias:
http://sunbeltblog.blogspot.com/2005/12/new-exploit-blows-by-fully-patched.html

[Actualización #2]

La explotación exitosa de esta grave vulnerabilidad dependerá del navegador utilizado:

  1. Los usuarios de Internet Explorer se infectarán en forma automática (sin interacción alguna) con solo ver una página web maliciosa.
  2. Los usuarios de Mozilla Firefox u Opera no se infectarán en forma automática, ya que antes serán invitados mediante un cuadro de dialogo a descargar, o bien a abrir el archivo WMF malicioso. En caso de descargar o abrir el archivo, se infectarán.
Referencias:
http://www.f-secure.com/weblog/archives/archive-122005.html#00000752

[Actualización #3]

Existen mas de 50 variantes de archivos WMF que se aprovechan del WMF 0-day exploit.
Ver listado de sitios:
Sunbelt Blog: More than 50 WMF variants in the wild using zero day exploit
http://sunbeltblog.blogspot.com/2005/12/more-than-50-wmf-variants-in-wild.html

Dos posibles soluciones temporarias sugeridas:
  1. Desregistrar SHIMGVW.DLL (Ir a Inicio, Ejecutar y escribir "regsvr32 -u %windir%\system32\shimgvw.dll" sin comillas y aceptar)
  2. Asociar los archivos de imágen WMF, por ejemplo, al bloc de notas. De este modo, ese tipo de archivos se abrirá con el bloc de notas, lo cual no es algo "elegante", pero evita la apertura accidental de un archivo WMF malicioso. [Opción 2. no recomendable, ver actualización #5 más abajo]
Referencias:
Sunbelt Blog: Workaround for the WMF exploit
http://sunbeltblog.blogspot.com/2005/12/workaround-for-wmf-exploit.html

[Actualización #4]
Exploit disponible en FrSIRT:
Microsoft Windows / Internet Explorer WMF Remote Code Execution Exploit (0day)
Date : 28/12/2005
http://www.frsirt.com/exploits/20051228.ie_xp_pfv_metafile.pm.php

[Actualización #5]
Cuatro novedades más...

Importante información enviada por David Byrne a Bugtraq:


a) Si el archivo WMF malicioso es renombrado con otra extensión correspondiente a un archivo de gráficos (p. ej: .gif, .jpg, .png, .tif), la librería GDI lo leerá correctamente y se ejecutará el exploit.

http://www.securityfocus.com/archive/1/420378/30/0/threaded

b) La vista previa en miniaturas del explorador de Windows procesará los archivos de imágen en una carpeta aún si el fichero no es abierto, lo cual es suficiente para ejecutar el exploit. Y aún más atemorizante es que no hace falta utilizar la vista de miniatura en el explorador para que esta sea generada, en ciertas circunstancias, basta con seleccionar con un clic simple en el archivo malicioso, para que este se ejecute.

http://www.securityfocus.com/archive/1/420379/30/0/threaded


Websense Security Labs Blog:
Video con la filmación de un sistema atacado con el WMF 0-day exploit:
http://www.websensesecuritylabs.com/images/alerts/wmf-movie.wmv

Post en Microsoft Security Response Center Blog reporta "Posible vulnerabilidad en Windows"...
¿¿¿Posible vulnerabilidad??? ;-)
http://blogs.technet.com/msrc/archive/2005/12/29/416569.aspx

Los usuarios de Google Desktop deberán tener especial cuidado
, ya que este software realiza una llamada API al componente vulnerable SHIMGVW.DLL para extraer la información de la imágen a efectos de indexarla, lo cual es suficiente para invocar la ejecución del exploit e infectar la máquina.
Ref.:
http://www.f-secure.com/weblog/archives/archive-122005.html#00000753

[Actualización #6]
* Resultados del análisis con distintos antivirus (mediante el servicio VirusTotal de Hispasec) del exploit inicial de "uni on seek. com/ d/t 1/ wmf_exp. htm" (sitio ya no activo), en este post del Blog de SecuriTeam:
http://blogs.securiteam.com/index.php/archives/163

* Windows 2000 SP4 y Windows 98/Me también están afectados.
Ver listado de productos vulnerables en el reporte de FrSIRT:
FrSIRT/ADV-2005-3086
Microsoft Windows WMF Handling Remote Code Execution Vulnerability
http://www.frsirt.com/english/advisories/2005/3086

El Blog

Calendario

<<   Diciembre 2005  >>
LMMiJVSD
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31  

Categorías

Alojado en
ZoomBlog

Get Firefox!

Check Page Rank

directorio blogs
eXTReMe Tracker