Esta información está recogida de diferentes fuentes (algunas de las cuáles
se mencionan al final de este artículo), y también de diversas pruebas
que hemos realizado.
- ¿Abrir un archivo WMF con un editor como MSPAINT es seguro?
No,
no es seguro aunque usted haya desregistrado el componente SHIMGVW.DLL.
Incluso si un archivo .WMF es renombrado, MSPAINT (Paint), el editor de
imágenes que trae Windows por defecto, abre el archivo y eso provoca la
ejecución del exploit.
- ¿Utilizar un visualizador de terceros, como IrfanView o ACDSEE es seguro?
No,
no lo es. Aunque se haya desregistrado SHIMGVW.DLL, al abrir un archivo
.WMF con el IrfanView o IrfanView Thumbnails, puede provocar la
ejecución del exploit.
- ¿Cuántos sitios o troyanos explotan actualmente esta vulnerabilidad?
La cantidad de sitios y de troyanos que se aprovechan de esta
vulnerabilidad aumenta todos los días. Ya no es práctico tampoco filtrar
algunos sitios como muchos aconsejaron al comienzo, ya que esta
cantidad es enorme, y además cambia segundo a segundo.
- ¿Es seguro filtrar solo archivos con extensión .WMF?
No, no es seguro. Existen métodos para explotar esta vulnerabilidad
utilizando otras extensiones asociadas al visor de imágenes y fax de
Windows, como por ejemplo BMP, DIB, EMF, GIF, ICO, JFIF, JPE, JPEG, JPG,
PNG, RLE, TIF, TIFF, etc. Además, muchos programas (como MSPAINT),
interpretan el archivo WMF como tal aún cuando lo renombremos como JPG
por ejemplo. Esto es porque leen los datos de su cabecera (los llamados
"bytes mágicos"), sin tomar en cuenta la extensión. Por esta razón no es
válida ninguna solución que pase por filtrar archivos por su extensión o
tipo.
- ¿Es vulnerable Google Desktop?
Google Desktop no es directamente vulnerable, pero como dicha aplicación (y
otras similares), crean un índice de archivos para hacer su búsqueda más
rápida, al momento de indexar archivos con extensión .WMF que contengan
el exploit, el mismo es ejecutado. Cómo esto ocurre sin que siquiera el
usuario haya intentado abrir o visualizar un archivo vulnerable,
aconsejamos no utilizar esta aplicación ni ninguna otra que realice
búsquedas de archivos en su computadora.
- ¿Cuál es el uso más extenso que se ha dado al exploit?
Todos los exploits conocidos descargan y ejecutan otros archivos
(generalmente troyanos), de Internet. El primer exploit que fue
detectado, descrito en nuestro artículo "Alerta: Troyano que se ejecuta
mediante archivos WMF", [Tienes que estar registrado y conectado para ver este vínculo],
creaba un archivo A.EXE que al ejecutarse, intentaba descargar otro
archivo desde la web. Actualmente, la mayoría de los exploits al
ejecutarse, despliegan alguna clase de alerta de texto, por ejemplo una
ventana de información (tipo globo), donde se le indica al usuario que
está infectado con algún adware o spyware ("Your computer is infected!",
etc.), y se le pide descargar un programa para limpiar la infección.
Muchos de esos programas anti-spywares, figuran en nuestro listado "Anti
Spywares sospechosos o no confiables (28/12/05)", [Tienes que estar registrado y conectado para ver este vínculo]).
De todos modos, el escenario no está limitado a este tipo de acción, ya
que al poderse ejecutar un código sin el conocimiento del usuario,
cualquier acción maliciosa es posible. La razón de que la mayoría de los
exploits conocidos a la fecha hagan cosas similares, es porque al haber
sido hecho público el código del mismo, cualquiera puede crear su
propio troyano. Cómo la mayoría de las personas no tienen los
conocimientos necesarios, simplemente se dedican a cortar y pegar, y a
cambiar unos pocas líneas del código original.
- ¿Estoy protegido si no utilizo Internet Explorer?
No
se está totalmente protegido si se utiliza por ejemplo Firefox en lugar
de Internet Explorer. Versiones más antiguas de Firefox (1.0.x), abren
las imágenes WMF con el visor de imágenes y fax de Windows y son
vulnerables. La versión más reciente (1.5.x), intentan abrirlas con el
Reproductor de Windows Media, que no es vulnerable. Opera también abre
estas imágenes con el visor de imágenes y fax de Windows. De todos
modos, todos estos navegadores le preguntan al usuario si desea abrir
dichos archivos.
Además, recuerde que la infección vía Web es
solo uno de los escenarios posibles. Basta abrir una carpeta que
contenga un archivo WMF para que el exploit se ejecute, siempre que
tenga activo el visor de imágenes y fax de Windows. Y en esto no importa
que navegador se esté utilizando.
- Microsoft recomienda también utilizar la protección DEP, ¿esto es efectivo?
DEP
(Data Execution Prevention o "Prevención de ejecución de datos"), es
una característica que se instala en Windows XP SP2, Windows Server 2003
SP1 y Windows XP Tablet PC Edition 2005, y que permite proteger el
sistema de la ejecución de código malicioso en alguna parte de la
memoria marcada sólo para datos. Esta protección puede aplicarse a nivel
de hardware en los equipos más modernos, cuyos microprocesadores
contengan dicha función, o en caso contrario a nivel de software. Cuando
la protección es a nivel de software solamente (la mayoría de los
equipos actuales no lo soporta por hardware aún), entonces el exploit
igual se ejecuta. Por lo tanto, no recomendamos este tipo de protección,
salvo que usted esté seguro que su computadora soporta esta protección
por hardware (esto se explica en el artículo "La vulnerabilidad WMF y la
solución basada en DEP", [Tienes que estar registrado y conectado para ver este vínculo])
- ¿Que hace exactamente que funcione el exploit?
Aunque
actualmente el componente relacionado con el exploit es la biblioteca
SHIMGVW.DLL, la razón de que se pueda ejecutar código, está en las
características de la interfase gráfica de Windows (Windows Graphic
Display Interface o GDI).
La interfase gráfica es la que permite a
las aplicaciones utilizar gráficos y textos con formato. Las
aplicaciones pueden utilizar llamadas especiales a la GDI para controlar
funciones que directamente no podrían hacer, por ejemplo, detener un
trabajo de impresión.
Los archivos WMF (Windows Metafile), son
archivos gráficos que contienen además secuencias de llamadas a
funciones GDI. La imagen es creada (visualizada), ejecutando dichas
funciones.
El problema se presenta porque algunas de esas
funciones pueden corromperse. El exploit actualmente en circulación, se
vale de una función que ya es obsoleta, y se conserva solo por
compatibilidad con las versiones de 16 bit de Windows. En concreto, es
la secuencia de escape GDI llamada SETABORTPROC, la que el exploit
utiliza para ejecutar código de forma arbitraria cuando un archivo WMF
es visualizado. Sin embargo, otras funciones similares también podrían
ser explotadas en el futuro.
Aunque el exploit actual se basa en
el visor de imágenes y fax de Windows (SHIMGVW.DLL), la vulnerabilidad
principal se encuentra en la biblioteca de la interfase gráfica
propiamente dicha (GDI32.DLL, Windows Graphical Device Interface
library). Desregistrar SHIMGVW.DLL solo nos protege del exploit
actualmente hecho público. De todos modos, no se conocen al momento
exploits para otros componentes relacionados con el GDI.
- ¿Sólo Windows o el Internet Explorer son vulnerables?
Esta vulnerabilidad afecta directa o indirectamente a otras aplicaciones, al momento actual se han confirmado las siguientes: <blockquote>
Google Desktop
Lotus Notes
</blockquote>
Otras
aplicaciones que visualicen o indexen archivos WMF también son
indirectamente vulnerables (Firefox y Opera por ejemplo, aunque según la
versión, y con la ventaja de que preguntan al usuario antes de abrir un
archivo WMF).
- Parche oficial de Microsoft (5/ene/06)
El
jueves 5 de enero, Microsoft publica un boletín urgente (fuera de la
ronda acostumbrada de boletines), que corrige esta peligrosa
vulnerabilidad.
Se recomienda desinstalar los parches y
protecciones alternativos de terceros que se hayan instalado antes, e
instalar los parches que se indican en los siguientes enlaces:
Microsoft Windows 2000 Service Pack 4
Actualización de seguridad para Windows 2000 (KB912919)
[Tienes que estar registrado y conectado para ver este vínculo]
AA9E27BD-CB9A-4EF1-92A3-00FFE7B2AC74&displaylang=es
Microsoft Windows XP Service Pack 1 y Microsoft Windows XP Service Pack 2
Actualización de seguridad para Windows XP (KB912919)
[Tienes que estar registrado y conectado para ver este vínculo]
0C1B4C96-57AE-499E-B89B-215B7BB4D8E9&displaylang=es
Microsoft Windows Server 2003 y Microsoft Windows Server 2003 Service Pack 1
Actualización de seguridad para Windows Server 2003 (KB912919)
[Tienes que estar registrado y conectado para ver este vínculo]
1584AAE0-51CE-47D6-9A03-DB5B9077F1F2&displaylang=es
Otras versiones de Windows y más información, puede ser encontrada en el siguiente enlace (en inglés):
[Tienes que estar registrado y conectado para ver este vínculo]
El parche también está disponible a través de las actualizaciones automáticas de Windows Update.
se mencionan al final de este artículo), y también de diversas pruebas
que hemos realizado.
- ¿Abrir un archivo WMF con un editor como MSPAINT es seguro?
No,
no es seguro aunque usted haya desregistrado el componente SHIMGVW.DLL.
Incluso si un archivo .WMF es renombrado, MSPAINT (Paint), el editor de
imágenes que trae Windows por defecto, abre el archivo y eso provoca la
ejecución del exploit.
- ¿Utilizar un visualizador de terceros, como IrfanView o ACDSEE es seguro?
No,
no lo es. Aunque se haya desregistrado SHIMGVW.DLL, al abrir un archivo
.WMF con el IrfanView o IrfanView Thumbnails, puede provocar la
ejecución del exploit.
- ¿Cuántos sitios o troyanos explotan actualmente esta vulnerabilidad?
La cantidad de sitios y de troyanos que se aprovechan de esta
vulnerabilidad aumenta todos los días. Ya no es práctico tampoco filtrar
algunos sitios como muchos aconsejaron al comienzo, ya que esta
cantidad es enorme, y además cambia segundo a segundo.
- ¿Es seguro filtrar solo archivos con extensión .WMF?
No, no es seguro. Existen métodos para explotar esta vulnerabilidad
utilizando otras extensiones asociadas al visor de imágenes y fax de
Windows, como por ejemplo BMP, DIB, EMF, GIF, ICO, JFIF, JPE, JPEG, JPG,
PNG, RLE, TIF, TIFF, etc. Además, muchos programas (como MSPAINT),
interpretan el archivo WMF como tal aún cuando lo renombremos como JPG
por ejemplo. Esto es porque leen los datos de su cabecera (los llamados
"bytes mágicos"), sin tomar en cuenta la extensión. Por esta razón no es
válida ninguna solución que pase por filtrar archivos por su extensión o
tipo.
- ¿Es vulnerable Google Desktop?
Google Desktop no es directamente vulnerable, pero como dicha aplicación (y
otras similares), crean un índice de archivos para hacer su búsqueda más
rápida, al momento de indexar archivos con extensión .WMF que contengan
el exploit, el mismo es ejecutado. Cómo esto ocurre sin que siquiera el
usuario haya intentado abrir o visualizar un archivo vulnerable,
aconsejamos no utilizar esta aplicación ni ninguna otra que realice
búsquedas de archivos en su computadora.
- ¿Cuál es el uso más extenso que se ha dado al exploit?
Todos los exploits conocidos descargan y ejecutan otros archivos
(generalmente troyanos), de Internet. El primer exploit que fue
detectado, descrito en nuestro artículo "Alerta: Troyano que se ejecuta
mediante archivos WMF", [Tienes que estar registrado y conectado para ver este vínculo],
creaba un archivo A.EXE que al ejecutarse, intentaba descargar otro
archivo desde la web. Actualmente, la mayoría de los exploits al
ejecutarse, despliegan alguna clase de alerta de texto, por ejemplo una
ventana de información (tipo globo), donde se le indica al usuario que
está infectado con algún adware o spyware ("Your computer is infected!",
etc.), y se le pide descargar un programa para limpiar la infección.
Muchos de esos programas anti-spywares, figuran en nuestro listado "Anti
Spywares sospechosos o no confiables (28/12/05)", [Tienes que estar registrado y conectado para ver este vínculo]).
De todos modos, el escenario no está limitado a este tipo de acción, ya
que al poderse ejecutar un código sin el conocimiento del usuario,
cualquier acción maliciosa es posible. La razón de que la mayoría de los
exploits conocidos a la fecha hagan cosas similares, es porque al haber
sido hecho público el código del mismo, cualquiera puede crear su
propio troyano. Cómo la mayoría de las personas no tienen los
conocimientos necesarios, simplemente se dedican a cortar y pegar, y a
cambiar unos pocas líneas del código original.
- ¿Estoy protegido si no utilizo Internet Explorer?
No
se está totalmente protegido si se utiliza por ejemplo Firefox en lugar
de Internet Explorer. Versiones más antiguas de Firefox (1.0.x), abren
las imágenes WMF con el visor de imágenes y fax de Windows y son
vulnerables. La versión más reciente (1.5.x), intentan abrirlas con el
Reproductor de Windows Media, que no es vulnerable. Opera también abre
estas imágenes con el visor de imágenes y fax de Windows. De todos
modos, todos estos navegadores le preguntan al usuario si desea abrir
dichos archivos.
Además, recuerde que la infección vía Web es
solo uno de los escenarios posibles. Basta abrir una carpeta que
contenga un archivo WMF para que el exploit se ejecute, siempre que
tenga activo el visor de imágenes y fax de Windows. Y en esto no importa
que navegador se esté utilizando.
- Microsoft recomienda también utilizar la protección DEP, ¿esto es efectivo?
DEP
(Data Execution Prevention o "Prevención de ejecución de datos"), es
una característica que se instala en Windows XP SP2, Windows Server 2003
SP1 y Windows XP Tablet PC Edition 2005, y que permite proteger el
sistema de la ejecución de código malicioso en alguna parte de la
memoria marcada sólo para datos. Esta protección puede aplicarse a nivel
de hardware en los equipos más modernos, cuyos microprocesadores
contengan dicha función, o en caso contrario a nivel de software. Cuando
la protección es a nivel de software solamente (la mayoría de los
equipos actuales no lo soporta por hardware aún), entonces el exploit
igual se ejecuta. Por lo tanto, no recomendamos este tipo de protección,
salvo que usted esté seguro que su computadora soporta esta protección
por hardware (esto se explica en el artículo "La vulnerabilidad WMF y la
solución basada en DEP", [Tienes que estar registrado y conectado para ver este vínculo])
- ¿Que hace exactamente que funcione el exploit?
Aunque
actualmente el componente relacionado con el exploit es la biblioteca
SHIMGVW.DLL, la razón de que se pueda ejecutar código, está en las
características de la interfase gráfica de Windows (Windows Graphic
Display Interface o GDI).
La interfase gráfica es la que permite a
las aplicaciones utilizar gráficos y textos con formato. Las
aplicaciones pueden utilizar llamadas especiales a la GDI para controlar
funciones que directamente no podrían hacer, por ejemplo, detener un
trabajo de impresión.
Los archivos WMF (Windows Metafile), son
archivos gráficos que contienen además secuencias de llamadas a
funciones GDI. La imagen es creada (visualizada), ejecutando dichas
funciones.
El problema se presenta porque algunas de esas
funciones pueden corromperse. El exploit actualmente en circulación, se
vale de una función que ya es obsoleta, y se conserva solo por
compatibilidad con las versiones de 16 bit de Windows. En concreto, es
la secuencia de escape GDI llamada SETABORTPROC, la que el exploit
utiliza para ejecutar código de forma arbitraria cuando un archivo WMF
es visualizado. Sin embargo, otras funciones similares también podrían
ser explotadas en el futuro.
Aunque el exploit actual se basa en
el visor de imágenes y fax de Windows (SHIMGVW.DLL), la vulnerabilidad
principal se encuentra en la biblioteca de la interfase gráfica
propiamente dicha (GDI32.DLL, Windows Graphical Device Interface
library). Desregistrar SHIMGVW.DLL solo nos protege del exploit
actualmente hecho público. De todos modos, no se conocen al momento
exploits para otros componentes relacionados con el GDI.
- ¿Sólo Windows o el Internet Explorer son vulnerables?
Esta vulnerabilidad afecta directa o indirectamente a otras aplicaciones, al momento actual se han confirmado las siguientes: <blockquote>
Google Desktop
Lotus Notes
</blockquote>
Otras
aplicaciones que visualicen o indexen archivos WMF también son
indirectamente vulnerables (Firefox y Opera por ejemplo, aunque según la
versión, y con la ventaja de que preguntan al usuario antes de abrir un
archivo WMF).
- Parche oficial de Microsoft (5/ene/06)
El
jueves 5 de enero, Microsoft publica un boletín urgente (fuera de la
ronda acostumbrada de boletines), que corrige esta peligrosa
vulnerabilidad.
Se recomienda desinstalar los parches y
protecciones alternativos de terceros que se hayan instalado antes, e
instalar los parches que se indican en los siguientes enlaces:
Microsoft Windows 2000 Service Pack 4
Actualización de seguridad para Windows 2000 (KB912919)
[Tienes que estar registrado y conectado para ver este vínculo]
AA9E27BD-CB9A-4EF1-92A3-00FFE7B2AC74&displaylang=es
Microsoft Windows XP Service Pack 1 y Microsoft Windows XP Service Pack 2
Actualización de seguridad para Windows XP (KB912919)
[Tienes que estar registrado y conectado para ver este vínculo]
0C1B4C96-57AE-499E-B89B-215B7BB4D8E9&displaylang=es
Microsoft Windows Server 2003 y Microsoft Windows Server 2003 Service Pack 1
Actualización de seguridad para Windows Server 2003 (KB912919)
[Tienes que estar registrado y conectado para ver este vínculo]
1584AAE0-51CE-47D6-9A03-DB5B9077F1F2&displaylang=es
Otras versiones de Windows y más información, puede ser encontrada en el siguiente enlace (en inglés):
[Tienes que estar registrado y conectado para ver este vínculo]
El parche también está disponible a través de las actualizaciones automáticas de Windows Update.
» Mitos sobre la CPU (Verdades/Mentiras)
» Todo lo que hay que saber sobre el Exploit WMF
» Tutorial crear troyano profesional by Panzerfaust
» ¿Cómo comprar con Ukash en España? [Xat.com]
» Descargar Text Aloud + Voces Crack [FullPack]
» Ultimas novedades
» Ausencia de Mercury15 [2010]
» Tengo una duda