Enero del 2006

Winamp 5.13 resuelve vulnerabilidad crítica (Playlist Remote Buffer Overflow)

Por marcelo-ar - 31 de Enero, 2006, 1:51, Categoría: General

Se ha descubierto una vulnerabilidad crítica en el popular reproductor Winamp, la cual puede ser explotada por atacantes remotos para ejecutar código arbitrario.

La vulnerabilidad es ocasionada debido a un error de límite durante el manejo de nombres de archivo que incluyan un "Computer Name" (nombre de computador).
Esto puede ser explotado para ocasionar un desbordamiento de buffer mediante una lista de reproducción (playlist [*.pls]) especialmente alterada que contenga un nombre de archivo que comience con un "Computer Name" demasiado extenso (alrededor de 1040 bytes)

La explotación exitosa de este fallo permite la ejecución de código arbitrario, por ejemplo, al visualizar una página web que contenga un iframe que enlace a un archivo .pls especialmente alterado.

La vulnerabilidad ha sido confirmada en Winamp 5.12. Otras versiones anteriores tambien podrían estar afectadas.

Importante:
Se hizo público un exploit que se aprovecha de esta vulnerabilidad:
Winamp 5.12 Remote Buffer Overflow Universal Exploit (Zero-Day)

Solución:
Actualizar a Winamp 5.13:
http://www.winamp.com/player/index.php

Ref.:

Secunia Advisory: SA18649
Winamp Computer Name Handling Buffer Overflow Vulnerability
http://secunia.com/advisories/18649/

SANS ISC:
"Winamp 5.x Remote Code Execution via Playlists"
http://isc.sans.org/diary.php?storyid=1080

FrSIRT - Exploits & Codes:
Nullsoft Winamp Player <= 5.12 PLS File Handling Remote Buffer Overflow Exploit
http://www.frsirt.com/exploits/20060129.winamp0day.c.php

Alerta: Crecen las infecciones con el gusano Kama Sutra (Nyxem / Blackmal / MyWife / Tearec)

Por marcelo-ar - 25 de Enero, 2006, 3:32, Categoría: General

El gusano Kama Sutra (también conocido como BlackWorm), se está propagando a gran escala.
En este momento el número de usuarios infectados está cercano a los 700.000, lo cual se sabe ya que este gusano se reporta a un servidor que contabiliza la cantidad de infecciones.
[Actualización 26/01/2006 02:15 a.m. Arg]
Si bien en un momento se creyó que la cantidad de infecciones estaban llegando a los dos millones (ver post en Sunbelt Blog), luego de un análisis de esto, en el Blog de SecuriTeam concluyeron que algún "gracioso" (probablemente el autor del gusano) estaba inflando el contador mediante un DDoS (ver post en Blog SecuriTeam via Sunbelt Blog). Se estima entonces, que el número aproximado es de 300.000 infecciones.

El gusano, disfrazado de contenido pornográfico, una vez ejecutado intenta inhabilitar conocidos productos antivirus y cortafuegos, además de propagarse tomando direcciones de correo electrónico de la PC infectada.
Todos los días 3 de cada mes, el gusano destruye ciertos archivos del usuario infectado reemplazándolos con el siguiente string (o cadena de caracteres) "DATA Error [47 0F 94 93 F4 K5]". El gusano atacará los archivos con extensiones DOC, XLS, MDB, MDE, PPT, PPS, ZIP, RAR, PDF, PSD y DMP.

El nombre asignado al gusano "Kama Sutra" dependerá del fabricante del antivirus, por lo cual el siguiente listado (provisto por Andreas Marx de AV-Test.org) es de suma utilidad:

AntiVir      Worm/KillAV.GR
Avast!       Win32:VB-CD [Wrm]
AVG          Worm/Generic.FX
BitDefender  Win32.Worm.P2P.ABM
ClamAV       Worm.VB-8
Command      W32/Kapser.A@mm (exact)
Dr Web       Win32.HLLM.Generic.391
eSafe        Win32.VB.bi
eTrust-INO   Win32/Blackmal.F!Worm
eTrust-VET   Win32/Blackmal.F
Ewido        Worm.VB.bi
F-Prot       W32/Kapser.A@mm (exact)
F-Secure     Email-Worm.Win32.Nyxem.e
Fortinet     W32/Grew.A!wm
Ikarus       Email-Worm.Win32.VB.BI
Kaspersky    Email-Worm.Win32.Nyxem.e
McAfee       W32/MyWife.d@MM
Nod32        Win32/VB.NEI worm
Norman       W32/Small.KI
Panda        W32/Tearec.A.worm
QuickHeal    I-Worm.Nyxem.e
Sophos       W32/Nyxem-D
Symantec     W32.Blackmal.E@mm
Trend Micro  WORM_GREW.A
VBA32        Email-Worm.Win32.VB.bi
VirusBuster  Worm.P2P.VB.CIL

Ref.:
http://sunbeltblog.blogspot.com/2006/01/february-3rd-is-possibly-d-day.html
http://sunbeltblog.blogspot.com/2006/01/kama-sutra-worm.html
http://www.f-secure.com/weblog/archives/archive-012006.html#00000787
http://isc.sans.org/diary.php?storyid=1067
http://www.websensesecuritylabs.com/alerts/alert.php?AlertID=405

Herramienta de desinfección de Symantec:
W32.Blackmal@mm Removal Tool

Artículo en Sophos (en español):
El gusano Kama Sutra se extiende a gran velocidad

Internet Explorer 7 Build 5299 (Beta 2 Preview) filtrado al publico

Por marcelo-ar - 24 de Enero, 2006, 0:22, Categoría: General

[Actualización 01/02/2006]
IE 7 Beta2 disponible en forma oficial,
ver este post.


El pasado viernes 20 de enero fue filtrado al público el "Internet Explorer 7 Build 5299 Beta 2 Preview" a través del foro de JCXP.net, junto a unas capturas de pantalla de la nueva versión de este navegador, aún en desarrollo.
A pedido de Microsoft, fueron removidos los links de descarga del mencionado foro, que se encontraban en este post "Internet Explorer 7 Build 5299 (Beta 2 Preview)..."
Notar que las instrucciones para poder instalar esa beta en Windows XP "No Genuinos" ;-) , no fueron removidas.

Aún se puede conseguir una copia de esta beta del IE 7, por ejemplo, desde este post en el sitio cnbeta.com (en Chino)...
http://www.cnbeta.com//modules.php?name=News&file=article&sid=9904
... que se puede entender "un poco" mejor con una traducción al inglés mediante las Herramientas del idioma de Google: Internet Explorer 7 Build 5299 (Beta 2 Preview)
De los dos enlaces de descarga provistos, el de Rapidshare ya fue removido.

[Actualización 30/01/2006]
El enlace de descarga de cnbeta ya no funciona, sin embargo se puede descargar de down.com donde además se explica como poner el IE 7 en español (usar bajo propio riesgo):
http://www.9down.com/story.php?sid=6060
Descarga "Internet Explorer 7 Build 5299 Beta 2 Preview":
http://www.9down.com/downloads.php?fileid=269

Leer comentarios en español sobre este IE 7 Beta2, y más capturas, en esta entrada de Denken Über:
Internet Explorer 7 Build.5299
http://www.uberbin.net/archivos/internet/internet-explorer-7-build5299.php

Kerio WinRoute Firewall version 6.1.4 Patch 2 resuelve multiples vulnerabilidades

Por marcelo-ar - 20 de Enero, 2006, 21:53, Categoría: General

Se han reportado múltiples vulnerabilidades en Kerio WinRoute Firewall, las cuales podrían ser explotadas por atacantes remotos para ocasionar ataques DoS (Denegación de Servicio).

  • Un error en el manejo de ciertos datos al llevar a cabo el filtrado de contenido html podría ser explotado para ocasionar un DoS.
  • Un error en el manejo de strings demasiado extensos tomados del directorio activo, podría ser explotado para ocasionar un DoS.
Los dos primeros fallos fueron resueltos en Kerio WinRoute Firewall version 6.1.4 Patch 1 con fecha 5 de enero de 2006.
  • Con fecha 19 de enero de 2006, existe una nueva actualización que resuelve un posible cuelgue y consumo del 100% de CPU al navegar por la web.
Solución:
Actualizar a Kerio WinRoute Firewall version 6.1.4 Patch 2
http://www.kerio.com/kwf_download.html

Reporte original:
http://www.kerio.com/kwf_history.html

Ref.:
Secunia Advisory: SA18542
Kerio WinRoute Firewall Denial of Service Vulnerabilities
http://secunia.com/advisories/18542/

FrSIRT/ADV-2006-0247
Kerio WinRoute Firewall HTML Data and Active Directory DoS Vulnerabilities
http://www.frsirt.com/english/advisories/2006/0247

Resuelta grave vulnerabilidad en F-Secure Antivirus

Por marcelo-ar - 20 de Enero, 2006, 2:57, Categoría: General

Se han descubierto dos vulnerabilidades en varios productos antivirus F-Secure, las cuales podrían ser explotadas por atacantes remotos o malware para ejecutar código arbitrario o traspasar el escaneo del antivirus.

El primer problema es debido a un desbordamiento de buffer al procesar archivos ZIP especialmente alterados, lo cual podría ser explotado por atacantes remotos para ejecutar código arbitrario en el sistema del usuario atacado, por ejemplo, mediante el envío de un mensaje de correo electrónico conteniendo un ZIP malicioso a la víctima.

El segundo problema es debido a un error en la prestación de escaneo que no maneja correctamente ciertos archivos ZIP y RAR malformados, lo cual podría ser explotado para traspasar la detección de código malicioso dentro de estos archivos durante un escaneo.

Solución:
Actualizar el antivirus (ver reporte original de F-Secure)
http://www.f-secure.com/security/fsc-2006-1.shtml

Créditos:
Thierry Zoller

Ref.:
FrSIRT/ADV-2006-0257
F-Secure Anti-Virus Buffer Overflow and Security Bypass Vulnerabilities
http://www.frsirt.com/english/advisories/2006/0257

F-Secure Blog:
Vulnerability in F-Secure products
http://www.f-secure.com/weblog/archives/archive-012006.html#00000783

Outpost Firewall no bloquea el tráfico durante el inicio/cierre de Windows

Por marcelo-ar - 19 de Enero, 2006, 2:51, Categoría: General

Se ha descubierto una debilidad en Outpost Firewall.

Outpost deja de cumplir con su tarea por un corto período de tiempo mientras se lleva a cabo el cierre de Windows, dejando al sistema vulnerable a ataques por un corto intervalo. se han reportado períodos de 3 a 10 segundos (y hasta de 20 segundos en un test con Outpost 2.7).

Lo mismo ocurre al iniciar Windows (se han reportado períodos de 2 a 10 segundos), lo cual -aparentemente- depende de que otros programas estén instalados y su orden de instalación. Parte del problema es que la mayoría del software de seguridad trata de ejecutarse en primer término al iniciarse Windows, lo cual significa que los programas anteriormente instalados son empujados hacia atrás en la secuencia de inicio.

Sin bien el problema fue descubierto en Outpost 3.0, se asume que las versiones anteriores también están afectadas.

Outpost 3.0 build 558/438 (actualmente en fase beta) parece resolver este problema según pruebas realizadas, pero se desconoce cuando estará disponible su versión final para el público.

Reporte en el foro de Outpost Firewall:
Security Advisory: Outpost not blocking traffic on Windows shutdown
http://outpostfirewall.com/forum/showthread.php?t=16207

Crece la aceptación de Mozilla Firefox en Europa (tiene el 20% del mercado)

Por marcelo-ar - 18 de Enero, 2006, 1:26, Categoría: General

El navegador Mozilla Firefox se ha hecho con el 20% del mercado europeo de acuerdo a la compañía de monitoreo francesa XiTi.

En un ranking basado en una muestra tomada el 8 de enero la cual fue reconfirmada el 9 de enero, la aceptación de Firefox es considerable en Finlandia con un 38.39% (en mayo de 2005 era de un 30.91%). Firefox tiene un 30.27% del mercado alemán (en mayo de 2005 era de un 22.89%), el tercer mercado más grande luego de Eslovenia (actualmente con un 35.55%).

Europa es el continente con mayor uso de Firefox, con un 20.11%, seguido de Australia con un 18.6% y Estados Unidos de Norteamérica con un 15.8%. Firefox es menos usado en Africa (9.41%), Asia (8.81%), y Sudamérica (5.79%).
Mientras que, un 39% de los usuarios de Firefox utiliza la versión 1.5 que fue realizada a fines de Noviembre, y el restante 61% aún utiliza la versión 1.0.x.
XiTi afirmó que estos datos están basados en el análisis de 32.5 millones de visitas.
Los expertos en estadísticas afirman en base a sus estudios comparativos sobre variación de uso del navegador entre días de semana (laborables) y fines de semana, que Firefox es utilizado por igual tanto en el ámbito laboral como el hogareño.

Ref.:
heise online news
Firefox has 20 percent of the web browser market in Europe
http://www.heise.de/english/newsticker/news/68447

XiTiMonitor
Firefox dépasse les 20% en Europe
http://www.xitimonitor.com/etudes/equipement13.asp

Nota: Según las estadísticas de visitas a este blog medidas por Extreme Tracking, desde el 18/12/2005 (día en que instalé dicho medidor a efectos de deshacerme a la brevedad de Webstats4u, ex-Nedstatbasic), a la fecha, el ranking de navegadores es éste:

  1. MSIE 6       58.41%
  2. Firefox 1.5  22.13%
  3. Firefox 1    11.45%
  4. Opera 8       3.21%
  5. Mozilla 1     1.51%
  6. MSIE 5        0.92%

Vulnerabilidad en Thunderbird <=1.0.7 posibilita engaños con extensiones de archivos

Por marcelo-ar - 18 de Enero, 2006, 1:18, Categoría: General

Secunia Research ha descubierto una vulnerabilidad en Mozilla Thunderbird, la cual podría ser explotada por atacantes remotos para engañar a los usuarios y que ejecuten archivos maliciosos.

La vulnerabilidad es debida a que los adjuntos no son correctamente visualizados en los mensajes. Esto puede ser explotado para falsear la extensión y el icono asociado al tipo de archivo mediante una combinación de nombres de archivos demasiado extensos conteniendo espacios en blanco y encabezados "Content-Type" que no correspondan a la extensión del mismo.
Esto podría ser explotado por atacantes remotos para falsear los tipos y extensiones de archivos, y engañar a los usuarios para que ejecuten contenido malicioso.

La vulnerabilidad ha sido confirmada en las versiones 1.0.2, 1.0.6, y 1.0.7 para Windows. Otras versiones anteriores también podrían estar afectadas.

Solución:
Actualizar a Thunderbird 1.5
http://www.mozilla.com/thunderbird/
Todos los idiomas:
http://www.mozilla.com/thunderbird/all.html

Tiempos de divulgación:
01/07/2005 - Notificación inicial al fabricante.
10/07/2005 - El fabricante confirma la vulnerabilidad.
27/07/2005 - Vulnerabilidad resuelta en el repositorio CVS.
12/01/2006 - Thunderbird 1.5 disponible para el público en general.
17/01/2006 - Divulgación pública.

Créditos:
Descubierto por Andreas Sandblad, Secunia Research.

Reporte original:
Secunia Research
http://secunia.com/secunia_research/2005-22/advisory/

Otras referencias:
https://bugzilla.mozilla.org/show_bug.cgi?id=300246

Ref.:
FrSIRT/ADV-2006-0230
Mozilla Thunderbird Attachment Extension and Type Spoofing Vulnerability
http://www.frsirt.com/english/advisories/2006/0230

Secunia Advisory: SA15907
Mozilla Thunderbird Attachment Spoofing Vulnerability
http://secunia.com/advisories/15907/

Resuelto famoso bug "history.dat" en Firefox 1.5.0.1

Por marcelo-ar - 12 de Enero, 2006, 2:25, Categoría: General

[Actualización: Jueves 02 de Febrero de 2006]
Disponible Mozilla Firefox 1.5.0.1


El popular bug de Firefox descripto en estos posts...
  1. DoS en Firefox 1.5 (history.dat)
  2. Vulnerabilidad inexistente en Firefox (history.dat)
... ha sido finalmente resuelto y los "betatesters" pueden descargar la versión preliminar con el parche para este fallo desde el directorio "nightly builds" del futuro Firefox 1.5.0.1:
http://mozilla.osuosl.org/pub/mozilla.org/firefox/nightly/latest-mozilla1.8.0/

Este "fix" (parche) será incluido en Firefox 1.5.0.1 final.

Ref.:
MozillaZine: FireFox 1.5 Buffer overflow exploit
http://forums.mozillazine.org/viewtopic.php?p=2010389

Bugzilla Bug 319004:
https://bugzilla.mozilla.org/show_bug.cgi?id=319004

Disponible Thunderbird 1.5 final

Por marcelo-ar - 12 de Enero, 2006, 1:44, Categoría: General

Ya está disponible la versión final de Mozilla Thunderbird 1.5.

Thunderbird 1.5 introduce varias nuevas prestaciones, como el sistema de actualización de software, corrección de ortografía mientras se escribe, detector de phishing incorporado, auto guardar como borrador, y soporte para el borrado de adjuntos de los mensajes. Las reglas de filtrado de mensajes han sido también mejoradas con nuevas acciones de los filtros para respuesta y reenvío.

Descarga Thunderbird 1.5 (todos los idiomas y S.O.):
http://www.mozilla.com/thunderbird/all.html
o...
Descarga desde sitio ftp (Windows):
http://mozilla.osuosl.org/pub/mozilla.org/thunderbird/releases/1.5/win32/

[No Oficial]
Versión ZIP equivalente a Thunderbird 1.5 final (Nightly 2005-11-07-13):
thunderbird-1.5.en-US.win32.zip

Ref.:
MozillaZine: Thunderbird 1.5 Released
http://www.mozillazine.org/talkback.html?article=7892

Fallo en MS-Outlook/Exchange al decodificar TNEF permite ejecutar código arbitrario (MS06-003)

Por marcelo-ar - 11 de Enero, 2006, 0:52, Categoría: General

La vulnerabilidad es ocasionada debido a un error de límite al decodificar adjuntos MIME (Multipurpose Internet Mail Extensions) de formato TNEF (Transport Neutral Encapsulation Format). Lo cual puede ser explotado para ejecutar código arbitrario cuando el usuario abre o visualiza un mensaje de correo TNEF especialmente alterado o cuando el Microsoft Exchange Server Information Store procese el mensaje.

Solución: (aplicar parches)
Microsoft Security Bulletin MS06-003
Vulnerability in TNEF Decoding in Microsoft Outlook and Microsoft Exchange Could Allow Remote Code Execution (902412)
http://www.microsoft.com/technet/security/Bulletin/MS06-003.mspx

[Actualización: disponible versión en español del boletín de Microsoft]
Boletín de seguridad de Microsoft MS06-003
Una vulnerabilidad en la descodificación de TNEF en Microsoft Outlook y Microsoft Exchange podría permitir la ejecución remota de código (902412)
http://www.microsoft.com/spain/technet/seguridad/boletines/MS06-003-IT.mspx

Créditos:
John Heasman y Mark Litchfield de NGS Software.

Ref.:
Secunia Advisory: SA18368
Microsoft Outlook / Exchange TNEF Decoding Arbitrary Code Execution Vulnerability
http://secunia.com/advisories/18368/

Vulnerabilidad en fuentes Web embebidas de Windows permite ejecutar código arbitrario (MS06-002)

Por marcelo-ar - 11 de Enero, 2006, 0:48, Categoría: General

La vulnerabilidad es ocasionada debido a un error de corrupción de memoria al manejar fuentes Web incrustadas malformadas. Lo cual puede ser explotado para ejecutar código arbitrario cuando un usuario visita un sitio web malicioso o visualiza un mensaje de correo electrónico que contenga una fuente web embebida malformada.

Solución: (aplicar parches)
Microsoft Security Bulletin MS06-002
Vulnerability in Embedded Web Fonts Could Allow Remote Code Execution (908519)
http://www.microsoft.com/technet/security/Bulletin/MS06-002.mspx

[Actualización: disponible versión en español del boletín de Microsoft]
Boletín de seguridad de Microsoft MS06-002
Una vulnerabilidad en fuentes Web incrustadas podría permitir la ejecución remota de código (908519)
http://www.microsoft.com/spain/technet/seguridad/boletines/MS06-002-IT.mspx

Créditos:
Fang Xing, eEye Digital Security.

Ref.:
Secunia Advisory: SA18365
Microsoft Windows Embedded Web Fonts Arbitrary Code Execution Vulnerability
http://secunia.com/advisories/18365/

Vulnerabilidad no especificada en ClamWin/ClamAV al procesar archivos UPX

Por marcelo-ar - 11 de Enero, 2006, 0:40, Categoría: General

Se ha descubierto una vulnerabilidad en ClamAntiVirus (ClamWin y ClamAV), la cual podría ser explotada por usuarios maliciosos con un impacto desconocido.

La vulnerabilidad es ocasionada debido a un error de límite no especificado en "libclamav/upx.c" y puede ser explotada para ocasionar un desbordamiento de buffer basado en el heap mediante un archivo con compresión UPX especialmente alterado.

Solución:
Actualizar a la versión 0.88 de ClamWin (versión para Windows de ClamAV)
http://www.clamwin.com/content/view/18/46/
o...
Actualizar a la versión 0.88 de ClamAV
http://www.clamav.net/stable.php#pagestart

Nota:
Para actualizar ClamWin antivirus, basta con instalar la versión más reciente encima de la anterior:
ClamWin Free Antivirus FAQ
Q: Can I upgrade an existing version of ClamWin?
A: Yes, just run the normal set up program, and install over the top
of the existing version.

Créditos:
3Com's Zero Day Initiative.

Ref.:
Secunia Advisory: SA18379
ClamAV Unspecified UPX File Handling Vulnerability
http://secunia.com/advisories/18379/

QuickTime Player 7.0.4 resuelve múltiples vulnerabilidades

Por marcelo-ar - 11 de Enero, 2006, 0:39, Categoría: General

Se han identificado múltiples vulnerabilidades en el reproductor QuickTime Player de Apple, las cuales podrían ser explotadas por atacantes remotos para ejecutar código arbitrario u ocasionar una Denegación de Servicio (DoS).

1. Un desbordamiento de Heap al procesar imágenes QTIF.
2. Errores de desbordamiento de buffer, desbordamiento de entero y subdesborde de entero al procesar imágenes TGA.
3. Errores de desbordamiento de entero al procesar imágenes TIFF maliciosas.
4. Un desbordamiento de heap al procesar imágenes GIF maliciosas.
5. Un desbordamiento de heap al procesar archivos de video malformados.

Solución:
Actualizar a QuickTime Player 7.0.4 :
http://www.apple.com/quicktime/

Créditos:
Vulnerabilidades reportadas por Varun Uppal, Dejun Meng y Karl Lynn.

Ref.:
FrSIRT/ADV-2006-0128
Apple QuickTime Player Multiple Remote Code Execution Vulnerabilities
http://www.frsirt.com/english/advisories/2006/0128

Descubierta otra nueva vulnerabilidad en el procesamiento de archivos WMF (PoC disponible)

Por marcelo-ar - 10 de Enero, 2006, 7:08, Categoría: General

SecurityFocus ha publicado un reporte sobre una nueva vulnerabilidad en el proceso de archivos WMF no cubierta por la actualización MS06-001.

El motor de procesamiento de gráficos WMF de Microsoft está afectado por múltiples vulnerabilidades de corrupción de memoria. Estos fallos afectan a las funciones 'ExtCreateRegion' y 'ExtEscape'.
El problema se presenta cuando un usuario visualiza un archivo WMF especialmente alterado.

Los reportes indican que estos fallos pueden ocasionar una condición de Denegación de Servicio (DoS), sin embargo, se cree que también es posible la ejecución de código arbitrario.

Lennart Wistrand de Microsoft dice que:
"... As it turns out, these crashes are not exploitable but are instead Windows performance issues ..."
En español:
"...Por lo que se ve, estos crashes (cuelgues o fallos), no son explotables, si son, en cambio, cuestiones de desempeño o funcionamiento de Windows ..."  ;-)

Según Microsoft este problema no permite que un atacante ejecute código arbitrario, ni ocasionar el cuelgue del Sitema Operativo, solo podría ocasionar el fallo de la aplicación que procesa el archivo WMF. También afirman que ya habían identificado este tipo de problemas con anterioridad, y los están evaluando para resolverlos en un próximo Service Pack.

En la lista Full-disclosure ya se ha publicado una PoC (Prueba de Concepto) para esta vulnerabilidad:

Ref.:

SecurityFocus:
Microsoft Windows Graphics Rendering Engine Multiple Memory Corruption Vulnerabilities
http://www.securityfocus.com/bid/16167/discuss

[Full-disclosure] PoC for the 2 new WMF vulnerabilities (DoS)
http://seclists.org/lists/fulldisclosure/2006/Jan/0303.html

Microsoft Security Response Center Blog:
Information on new WMF Posting
http://blogs.technet.com/msrc/archive/2006/01/09/417198.aspx

Vulnerabilidad WMF: Parche no oficial de Eset funciona en Windows 98 y Windows ME

Por marcelo-ar - 9 de Enero, 2006, 2:44, Categoría: General

Si bien Microsoft publicó el parche oficial para la vulnerabilidad en el procesamiento de archivos WMF, no desarrolló parche alguno para Windows 98/ME.

Como informa el SANS ISC, Windows 9x/ME posee la librería vulnerable gdi32.dll.
En el aviso inicial de Microsoft, el cual ya no está disponible con su información original, se incluía a Win 9x en la lista de sistemas vulnerables (ver cache de Google).
Sin embargo, Win 9x funciona en forma levemente distinta a las versiones más recientes de Windows. Estas diferencias son suficientes como para que los exploits conocidos no funcionen en Win 9x.
A pesar de lo indicado, los usuarios de Win 9x si están en cierto riesgo.

En un mensaje a la lista Full-disclosure, Peter Ferrie (pferrie_at_symantec.com) comenta que el riesgo para usuarios de Win 98/ME es el mismo que para usuarios de Win 2000/NT.
Otras aplicaciones que no sean el Internet Explorer, que reconocen los archivos sin su encabezado, podrían llamar directamente a la función GDI!PlayMetaFile(), que eventualmente invocaría a la función vulnerable.

El único parche no oficial, que a diferencia del de Ilfak Guilfanov, funciona también en Win 98/ME, es el desarrollado por Paolo Monti (distribuidor de NOD32 en Italia) y publicado unas horas antes de la disponibilidad del parche oficial de Microsoft. Si bien este parche fue removido de la web de Eset, aún está disponible para descargar desde otros sitios regionales, como por ejemplo:

NOD32 Italia:
http://www.nod32.it/home/home.htm
Enlace de descarga directa del parche:
http://futuretime.itaweb.it/wmfpatch11.zip

NOD32 Suiza:
http://www.nod32.ch/en/download/tools.php
Enlaces de descarga directa del parche:
http://d1.nod32.ch/download/wmfpatch11.zip
http://www.idiosyn.ch/download/wmfpatch11.zip

NOD32 Latinoamérica (ver nota de prensa):
http://www.nod32-la.com/support/wmfpatch.htm
Enlace de descarga directa del parche:
http://www.nod32-la.com/download/wmfpatch11.exe

Disponible parche oficial de Microsoft para vulnerabilidad WMF (MS06-001)

Por marcelo-ar - 5 de Enero, 2006, 20:31, Categoría: General

Microsoft decidió adelantar la publicación del parche para la vulnerabilidad en el procesamiento de archivos de imágen WMF.
Según Microsoft, este adelantamiento se debe a que los testeos del parche en cuanto a calidad y compatibilidad con aplicaciones, finalizaron antes de lo previsto y el mismo está listo para ser publicado.
El parche fue publicado a las 2:00 p.m. PT (7:00 p.m. Arg.)

Descarga de esta actualización de seguridad (seleccionar S.O. e idioma):

Microsoft Security Bulletin MS06-001

Vulnerability in Graphics Rendering Engine Could Allow Remote Code Execution (912919)
http://www.microsoft.com/technet/security/Bulletin/ms06-001.mspx

[Actualización: Boletín disponible en español]
Boletín de seguridad de Microsoft MS06-001
Vulnerabilidades en el motor de proceso de gráficos podrían permitir la ejecución remota de código (912919)
http://www.microsoft.com/spain/technet/seguridad/boletines/MS06-001-IT.mspx

Microsoft publica por error una versión preliminar de su parche para la vulnerabilidad WMF

Por marcelo-ar - 5 de Enero, 2006, 2:38, Categoría: General

[Actualización]
Microsoft publicó hoy (05/01/2006, 19:00 Arg.) el parche oficial, ver
este post

Una versión preliminar del parche para la vulnerabilidad WMF, fue puesta a disposición de los usuarios de un sitio comunitario de seguridad, por un error de un empleado de Microsoft.

La gente de Sunbelt obtuvo una copia del parche de Microsoft, y verificaron con algunas pruebas rápidas que éste parece funcionar bien, bloqueando uno de los exploits, y aparentemente coexiste sin problemas con el parche no oficial de Ilfak Guilfanov.

Más información (en inglés):
http://sunbeltblog.blogspot.com/2006/01/we-take-quick-look-at-microsoft-hotfix.html
http://sunbeltblog.blogspot.com/2006/01/microsoft-security-patch-has-leaked.html
http://news.zdnet.com/2100-1009_22-6018263.html
http://www.securityfocus.com/brief/94
http://blogs.technet.com/msrc/archive/2006/01/04/416847.aspx


Detección del WMF exploit por los antivirus al 1 de enero de 2006

Por marcelo-ar - 4 de Enero, 2006, 21:05, Categoría: General

AV-test.org, un laboratorio independiente que testea productos antivirus, ha estado investigando la detección de exploits basados en la vulnerabilidad WMF.
Debajo están los resultados del análisis de 73 variantes distintas del exploit, al 1 de enero de 2006 por la mañana, con distintos productos antivirus:

Detección Productos
73 de 73 AntiVir, Avast!, BitDefender, ClamAV, Command, Dr Web, eSafe, eTrust-INO, eTrust-VET, Ewido, F-Secure, Fortinet, Kaspersky, McAfee, Nod32, Norman, Panda, Sophos, Symantec, Trend Micro, VirusBuster
67 de 73 Ikarus, VBA32
54 de 73 F-Prot
13 de 73 AVG
11 de 73 QuickHeal

Ref.:
PC Magazine
Current WMF exploit detection by AV scanners as of January 1, 2006
http://www.pcmag.com/article2/0,1895,1907518,00.asp



Actualización de las estadísticas de detección:

AV-Test chequeó 206 variantes del exploit y los siguientes productos las detectaron todas:

  • Avast!
  • BitDefender
  • ClamAV
  • eSafe
  • eTrust-VET
  • eTrust-VET (BETA)
  • F-Secure
  • F-Secure (BETA)
  • Kaspersky
  • McAfee
  • McAfee (BETA)
  • Nod32
  • OneCare
  • Panda (BETA)
  • Sophos
  • Symantec
  • Symantec (BETA)
Estos son los productos que no detectaron todas las variantes, y la cantidad que no detectaron de las 206 analizadas:

  • Fortinet           18
  • Fortinet (BETA)    18
  • AntiVir            24
  • eTrust-INO         25
  • eTrust-INO (BETA)  25
  • Panda              25
  • Ikarus             26
  • Norman                26
  • Ewido              47
  • AVG                59
  • Trend Micro (BETA) 60
  • VirusBuster        61
  • QuickHeal          63
  • Trend Micro        63
  • Dr Web             93
  • VBA32              110
  • Command            119
  • F-Prot             119
(beta se refiere a definiciones de este tipo)

Ref.:
Larry Seltzer's Blog
Updated Anti-virus Detection Stats
http://blog.ziffdavis.com/seltzer/archive/2006/01/04/39774.aspx

Vulnerabilidad WMF: ¿Cuáles versiones de Windows están realmente afectadas?

Por marcelo-ar - 4 de Enero, 2006, 3:48, Categoría: General

Larry Seltzer de eWEEK ha estado investigando las afirmaciones de iDEFENSE con respecto a cuales son las versiones de Windows que están realmente afectadas por la vulnerabilidad WMF.

En base a verificaciones efectuadas, iDEFENSE afirma lo siguiente.

Son vulnerables en su configuración por defecto:

  • Windows XP, SP1, SP2
  • Windows 2003, SP1
  • Lotus Notes también podría poseer su propia dll vulnerable
No son vulnerables:
  • Windows 2000
  • Windows ME
  • Windows 98
No testeado:
  • Windows NT
Despues de realizar varias verificaciones, Larry Seltzer llegó a las siguientes conclusiones:

iDEFENSE está en lo cierto, ya que en un sentido práctico solo Windows XP y Windows Server 2003 (incluidos sus Service Packs) están afectados por la vulnerabilidad WMF.

También es verdad lo que afirma F-Secure: todas las versiones de Windows, yendo hacia atrás hasta Windows 3.0, poseen la vulnerabilidad en GDI32. Pero muchas versiones de Windows no son tan vulnerables como parece. Excepto Windows XP y Windows Server 2003, ninguna versión de Windows, en su configuración por defecto, tiene una asociación establecida para abrir los archivos WMF, y ninguno de sus programas Paint o algún otro programa estándar instalado junto con éstos es capaz de abrir archivos WMF.
No fue hasta las versiones más recientes de Windows que Microsoft incluyó el Visor de imágenes y Fax para manejar este tipo de archivos WMF, de modo que, por varios años, WMF ha sido un formato no utilizado.
Por lo tanto, en sistemas Windows que no sean XP ni server 2003, en los cuales no se haya instalado un visor vulnerable para archivos WMF, la probabilidad de que sea afectado por un ataque mediante un WMF malicioso es ínfima.

Ref.: Larry Seltzer's Security Blog

Major Revision In Vulnerable System List
http://blog.ziffdavis.com/seltzer/archive/2006/01/03/39684.aspx

Researchers Dispute Which Windows Versions Are Vulnerable
http://blog.ziffdavis.com/seltzer/archive/2006/01/02/39680.aspx

Vulnerabilidad WMF: Microsoft intentará publicar su parche oficial el 10 de enero

Por marcelo-ar - 4 de Enero, 2006, 3:38, Categoría: General

Microsoft ha actualizado su "Microsoft Security Advisory (912840)"
El "advisory" actualizado dice:

"Microsoft ha completado el desarrollo de la actualización de seguridad para la vulnerabilidad. Esta actualización está ahora siendo probada para asegurar su calidad y compatibilidad con aplicaciones. La meta de Microsoft es publicar la actualización el martes 10 de enero de 2006, como parte de sus boletines de seguridad mensuales..."

Ref.:
Microsoft Security Advisory (912840)
Vulnerability in Graphics Rendering Engine Could Allow Remote Code Execution.
http://www.microsoft.com/technet/security/advisory/912840.mspx

Alerta Informativo: Ejemplos de sitios infectados por WMF exploit

Por marcelo-ar - 3 de Enero, 2006, 4:31, Categoría: General

Websense Security Labs (TM) está rastreando en forma activa a los sitios web que intentan infectar máquinas sin mayor interacción requerida por parte del usuario, es decir, con solo visitar un sitio web.
Actualmente existen dos tipos de sitios. Los primeros son sitios que han sido creados por atacantes a efectos de infectar a los usuarios. En la mayoría de los casos, estos sitios requieren de un señuelo (como un email o mensaje instántaneo) a efectos de atraer a los usuarios. Este tipo de sitios estan mayormente registrados con informacion fraudulenta.

Los segundos son sitios que han sido comprometidos por atacantes maliciosos.
Websense Security Labs muestra unas capturas de pantalla de sitios que aparentan haber sido comprometidos y que con solo visitarlos con una computadora ejecutando Windows podriamos infectarnos.

Los sitios estan distribuidos geograficamente en forma diversa.
Se han descubierto sitios en Estados Unidos, Rusia, Holanda, Reino Unido, China y Japón.

Ver las capturas en el alerta de Websense Security Labs.

Informational Alert: WMF Infected Site Examples
http://www.websensesecuritylabs.com/alerts/alert.php?AlertID=391

Utilidad para verificar la vulnerabilidad WMF

Por marcelo-ar - 2 de Enero, 2006, 1:55, Categoría: General

Ilfak Guilfanov, el mismo que desarrolló el recomendado parche para la vulnerabilidad WMF, ahora nos brinda una herramienta para verificar si nuestro sistema es o no vulnerable a la misma.

Al ejecutar la utilidad verficadora, veremos un cuadro de diálogo que dice:

Este programa chequea su sistema en contra de la vulnerabilidad WMF

No lleva a cabo ninguna acción dañina para su computadora, y no altera
ningún archivo en la misma.

Cuando usted oprima OK, los resultados del test serán desplegados en
pantalla.



Si su sistema es vulnerable se vera este texto en el cuadro de diálogo:



Si su sistema no es vulnerable, se verá este otro cuadro de diálogo:



Tener en cuenta que si aparece el segundo cuadro de diálogo en pantalla, solo significa que este ataque en particular hacia su computador ha fallado. Podrían existir otro tipo de ataques sobre los cuales aún nada se sabe.
En síntesis, esta utilidad sirve para saber si el parche está haciendo bien su trabajo.

Una precaución más: No olvide reiniciar su computador luego de la instalación, de no hacer esto, la herramienta verificadora dirá que el sistema es no vulnerable, aunque algunos procesos del sistema aún lo serán.

Descarga de la utilidad verificadora:
http://www.hexblog.com/security/files/wmf_checker_hexblog.exe

[Actualización: 03/01/2006, 22:10 Arg.]
Sitio de descarga alternativo del chequeador, por no estar disponible Hex Blog:
http://csc.sunbelt-software.com/wmf/wmf_checker_hexblog.exe

Ref.:
Sunbelt Blog: Alternate download for unofficial patch
http://sunbeltblog.blogspot.com/2006/01/alternate-download-for-unofficial.html

Esta utilidad verificadora ha sido probada por su autor en Win XP SP2 y Win XP 64-bit.

Ref.:
WMF Vulnerability Checker
http://www.hexblog.com/2006/01/wmf_vulnerability_checker.html

Parche no oficial para vulnerabilidad WMF recomendado por el SANS ISC y F-Secure

Por marcelo-ar - 1 de Enero, 2006, 19:06, Categoría: General

Después de haber revisado cuidadosamente el parche no oficial creado por Ilfak Guilfanov (que indiqué al final de este post del día de ayer), el SANS Internet Storm Center recomienda la instalación del mismo, ya que el parche hace lo que promete, es reversible y lo consideran seguro y efectivo.

La gente de F-Secure también ha recomendado el parche no oficial, lo cual hace altamente recomendable su instalación hasta tanto Microsoft logre desarrollar el parche oficial.

La versión 1.3 del parche funciona en Windows 2000, Windows XP 32-bit, Windows XP 64-bit, y Windows Server 2003.

Se puede descargar indistintamente desde la URL indicada en el blog Hex Blog de Ilfak Guilfanov o desde el SANS ISC.

Descarga de "wmffix_hexblog13.exe" versión 1.3 (*):

[Actualización 01/01/2006, 20:24 Arg]
Disponible parche en MSI (WindowsMetafileFix.msi) en esta página:
http://handlers.sans.org/tliston/WindowsMetafileFix.html

[Actualización 03/01/2006, 22:00 Arg.]
WMFHotfix-1.1.14.msi disponible aqui:
http://isc.sans.org/diary.php?storyid=1010

(**) Sitio de descarga alternativo por no estar disponible Hex Blog:
http://csc.sunbelt-software.com/wmf/wmffix_hexblog13.exe

[Actualización 04/01/2006]
Listado de sitios alternativos de descarga del parche no oficial Versión 1.4 "wmffix_hexblog14.exe" en Hexblog, ahora reducido a un mínimo tamaño debido a la gran cantidad de accesos por parte de usuarios en busca del parche:
  1. http://216.227.222.95/
  2. http://www.hexblog.com/
(*) El SANS ISC recomienda estas dos acciones:
1) Desregistrar la librería "shimgvw.dll" (Ir a Inicio, Ejecutar y escribir:
"regsvr32 -u %windir%\system32\shimgvw.dll" sin comillas y aceptar)
2) Utilizar el parche no oficial

Ref.:

Windows WMF Metafile Vulnerability HotFix
http://www.hexblog.com/2005/12/wmf_vuln.html

Internet Strom Center recommends Ilfak too
http://www.f-secure.com/weblog/archives/archive-012006.html#00000760

Updated version of Ilfak Guilfanov's patch
http://isc.sans.org/diary.php?storyid=999

Trustworthy Computing
http://isc.sans.org/diary.php?storyid=996

Nuevo exploit WMF ataca por email

Por marcelo-ar - 1 de Enero, 2006, 15:33, Categoría: General

Un mensaje de correo que utiliza el nuevo exploit WMF esta siendo "spammeado" por email.
Dicho mensaje tiene estas características:

Asunto: Happy New Year
Cuerpo: picture of 2006
Adjunto: HappyNewYear.jpg (un archivo WMF con extensión JPG)

Cuando el adjunto HappyNewYear.jpg es almacenado en el disco y luego es accedido (por ser abierto, seleccionado desde el explorador, o indexado via Google Desktop) se ejecutará y descargará un backdoor (puerta trasera de acceso remoto), identificado por F-Secure como "Backdoor.Win32.Bifrose.kt" desde el sitio www.ritztours.com.

En el Blog Sunbelt se comenta que aún no está claro si hace falta acceder al adjunto malicioso o si este se autoejecutará e infectará el sistema (por verlo en vista previa).

Ref.:

F-Secure Blog
http://www.f-secure.com/weblog/archives/archive-012006.html#00000759

Sunbelt Blog
http://sunbeltblog.blogspot.com/2005/12/new-wmf-exploit-confirmed-in-spam.html

El Blog

Calendario

<<   Enero 2006  >>
LMMiJVSD
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31      

Categorías

Alojado en
ZoomBlog

Get Firefox!

Check Page Rank

directorio blogs
eXTReMe Tracker