Ver las NORMAS de estos Foros Web ZackYFileS Chat ZackYFileS Agregar a Favoritos Contactar con Administrador
 
 

www.PADREDEFAMILA.COM La MEJOR tienda de venta de Electronica!!
Navegación
Retroceder   Foros ZackYFileS >
OTROS TEMAS DE INTERES - INTERNET:
> HARDWARE y SOFTWARE del PC > SOFTWARE del PC - PROGRAMAS y S.O.
Nombre de usuario
Contraseña
Configuración de UsuarioAyuda (FAQs)Nuevos PostsBuscar


Respuesta
 
Herramientas
Antiguo 30/12/2005, 21:37   #1
caminero21 
Moderador Indio
 
Avatar de caminero21
 
Fecha de ingreso: 13/nov/2003
Mensajes: 742
caminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededor
Alerta: Troyano que se ejecuta mediante archivos WMF

Se ha detectado un exploit activo, que permite la ejecución de código malicioso por el simple hecho de visualizar un archivo con extensión WMF en una carpeta de Windows con vista previa activa, o simplemente por visualizar una página web vía Internet. El mayor peligro es que no hay que hacer clic en ningún archivo para que se ejecute.

El exploit se vale de una vulnerabilidad en el proceso de archivos de imágenes WMF (Windows Metafile), que puede permitir la ejecución remota de código en el sistema. Cualquier programa que procese imágenes WMF en el equipo utilizando el componente de Windows afectado, puede ser vulnerable a un ataque.

De este modo, no solo los usuarios de Internet Explorer están involucrados, sino también quienes utilicen otros navegadores, tales como Firefox.

Con el primer exploit reportado, NOD32 detectó por medio de su heurística, el ejecutable malicioso que intentaba abrirse, sin necesidad de ser actualizado (debemos hacer notar que se han divulgado otras variantes luego de ello). Para el exploit en si, se ha lanzado la base de firmas 1.1342 que ya lo neutraliza.

Aconsejamos precaución extrema a la hora de abrir adjuntos, páginas de Internet o carpetas compartidas por programas P2P que contengan archivos .WMF.

Quienes usen un cortafuegos que detecte intentos de conexión desde el PC hacia el exterior (por ejemplo ZoneAlarm), serán avisados del intento de conexión de un archivo a un determinado sitio Web, que en nuestras primeras pruebas tenía el nombre de A.EXE (ello puede ser modificado por el autor en futuras versiones, y en este caso, esto es válido para el primer exploit detectado. Ver "Información de último momento" al final de este artículo).

El exploit creaba y ejecutaba un archivo llamado A.EXE, de 6,641 bytes. El mismo puede copiarse y ejecutarse en el escritorio de Windows y en la carpeta de archivos temporales de Windows, con los atributos de oculto.

En el caso de recibirse esta alerta, se debe negar la conexión. Luego, desde el Administrador de tareas de Windows (CTRL+ALT+SUPR), basta con buscar y eliminar el proceso llamado "a.exe".

También se deben borrar los siguientes archivos:

c:\windows\uniq
c:\windows\kl.exe

Para quienes utilicen NOD32, el antivirus impedirá la ejecución de dicho archivo, protegiéndolos de la posible infección. NOD32 lo detecta como una variante del Win32/TrojanDownloader.Small.AOD

El exploit propiamente dicho, es detectado por NOD32 como Win32/TrojanDownloader.Wmfex (ver "TrojanDownloader.Wmfex. Detección para exploit WMF, [url]http://www.vsantivirus.com/trojandownloader-wmfex.htm[/url])

Es importante hacer notar que las pruebas en nuestro laboratorio, se realizaron con un Windows XP SP2 con todas las actualizaciones al día, incluido el parche MS05-053 que solucionaba un problema de ejecución de código mediante imágenes WMF/EMF (896424), y que fuera publicado por Microsoft en noviembre pasado. Más tarde se comprobó que el exploit está basado en una vulnerabilidad totalmente nueva (ver "Información de último momento" al final de este artículo).

Dicha vulnerabilidad afecta a todas las computadoras que ejecuten Windows XP (SP2 incluido) y Windows Server 2003 (SP1 incluido). Otras versiones de Windows que utilicen el visor de imágenes y fax de Windows también son afectadas (ver "Vulnerabilidad en visor de imágenes y fax de Windows", [url]http://www.vsantivirus.com/vul-windows-shimgvw-281205.htm[/url])

Debido a consultas y comentario recibidos, no está de más aclarar que esta alerta no es una broma por el día de los inocentes (28 de diciembre), sino que se trata de algo totalmente real.

* Información de último momento [29/12/05 06:15 -0200]

1. No se trata de la vulnerabilidad corregida en el parche MS05-053 como se dijo en este mismo artículo anteriormente, sino de una nueva vulnerabilidad descubierta el mismo día de ser explotada (28 de diciembre). Un auténtico "zero-day".

2. La vulnerabilidad no depende del navegador, se puede infectar cualquier persona usando otros navegadores, como por ejemplo Firefox. Solo basta que se descargue una imagen que tenga el exploit, y esté utilizando una de las versiones vulnerables de Windows.

3. Existen al menos tres variaciones del exploits (28/12/05 20:58 -0200), que están siendo utilizadas para la descarga de otros troyanos. Los más típicos son los que muestran un falso anuncio de alerta de infección para que se descargue un supuesto software anti-spyware o anti-troyano. Esto no es nuevo y no debemos aceptar nunca seguir un enlace de este tipo si nos aparece una ventana con esta clase de alerta mientras navegamos, y la misma no es la de nuestro antivirus. Lo nuevo aquí es que se utiliza el nuevo exploit para aprovecharse de esto y ejecutar la falsa alerta de forma automática.

4. Aún cuando no se abra una imagen haciendo doble clic en ella, ni se utilice el Explorador de Windows para visualizar una carpeta que tenga una imagen con el exploit, podemos infectarnos si tenemos instaladas utilidades como por ejemplo Google Desktop, ya que las mismas crean un índice de imágenes para hacer búsquedas más rápidas, y ello es suficiente para que se ejecute el exploit. Ello está relacionado con el visor usado por Windows para ver las pre visualizaciones de imágenes, faxes, etc. Esto se explica en el siguiente artículo:

Vulnerabilidad en visor de imágenes y fax de Windows
[url]http://www.vsantivirus.com/vul-windows-shimgvw-281205.htm[/url]

5. En ese mismo artículo, se dan algunas soluciones alternativas de protección, como la de desregistrar el componente afectado (SHIMGVW.DLL), al menos mientras Microsoft no publique un parche actualizado.

Reiteramos, mucha precaución a la hora de navegar, no hacerlo por sitios no conocidos, y mantener al día los antivirus. Aún ahora no todos detectan el exploit o sus variantes.


* Resultados de las primeras muestras examinadas por el servicio de Hispasec, VirusTotal:

Este es el resultado de analizar el archivo "exploit.wmf" que VirusTotal ha procesado el DIA 28/12/2005 a las 18:33:20 (CET).

AntiVir 6.33.0.70 28.12.2005 TR/Dldr.WMF.Harnig
Avast 4.6.695.0 28.12.2005 Win32:Exdown
AVG 718 27.12.2005 no ha encontrado virus
Avira 6.33.0.70 28.12.2005 TR/Dldr.WMF.Harnig
BitDefender 7.2 28.12.2005 Exploit.Win32.WMF-PFV
CAT-QuickHeal 8.00 28.12.2005 no ha encontrado virus
ClamAV devel-20051108 26.12.2005 no ha encontrado virus
DrWeb 4.33 28.12.2005 no ha encontrado virus
eTrust-Iris 7.1.194.0 27.12.2005 no ha encontrado virus
eTrust-Vet 12.4.1.0 28.12.2005 no ha encontrado virus
Ewido 3.5 28.12.2005 no ha encontrado virus
Fortinet 2.54.0.0 28.12.2005 W32/WMF-exploit
F-Prot 3.16c 28.12.2005 no ha encontrado virus
Ikarus 0.2.59.0 28.12.2005 no ha encontrado virus
Kaspersky 4.0.2.24 28.12.2005 Trojan-Downloader.Win32.Agent.acd
McAfee 4661 28.12.2005 Exploit-WMF
NOD32v2 1.1342 28.12.2005 Win32/TrojanDownloader.Wmfex
Norman 5.70.10 28.12.2005 no ha encontrado virus
Panda 8.02.00 28.12.2005 no ha encontrado virus
Sophos 4.01.0 28.12.2005 no ha encontrado virus
Symantec 8.0 28.12.2005 Bloodhound.Exploit.56
TheHacker 5.9.1.063 28.12.2005 Exploit/WMF
UNA 1.83 28.12.2005 no ha encontrado virus
VBA32 3.10.5 28.12.2005 no ha encontrado virus



Este es el resultado de analizar el archivo "a.exe" que VirusTotal ha procesado el DIA 28/12/2005 a las 18:36:27 (CET).

AntiVir 6.33.0.70 28.12.2005 TR/Dldr.Harn.ax.12.C
Avast 4.6.695.0 28.12.2005 Win32:Harnig-J
AVG 718 27.12.2005 no ha encontrado virus
Avira 6.33.0.70 28.12.2005 TR/Dldr.Harn.ax.12.C
BitDefender 7.2 28.12.2005 BehavesLike:Trojan.Downloader
CAT-QuickHeal 8.00 28.12.2005 (Suspicious) - DNAScan
ClamAV devel-20051108 26.12.2005 no ha encontrado virus
DrWeb 4.33 28.12.2005 Trojan.DownLoader.6084
eTrust-Iris 7.1.194.0 27.12.2005 no ha encontrado virus
eTrust-Vet 12.4.1.0 28.12.2005 no ha encontrado virus
Ewido 3.5 28.12.2005 no ha encontrado virus
Fortinet 2.54.0.0 28.12.2005 suspicious
F-Prot 3.16c 28.12.2005 no ha encontrado virus
Ikarus 0.2.59.0 28.12.2005 Backdoor.Win32.PcClient.GV
Kaspersky 4.0.2.24 28.12.2005 no ha encontrado virus
McAfee 4661 28.12.2005 StartPage-IC
NOD32v2 1.1342 28.12.2005 variant of Win32/TrojanDownloader.Small.AOD
Norman 5.70.10 28.12.2005 W32/Downloader
Panda 8.02.00 28.12.2005 Trj/Downloader.GQA
Sophos 4.01.0 28.12.2005 no ha encontrado virus
Symantec 8.0 28.12.2005 no ha encontrado virus
TheHacker 5.9.1.063 28.12.2005 Trojan/Downloader-IC
UNA 1.83 28.12.2005 no ha encontrado virus
VBA32 3.10.5 28.12.2005 suspected of Trojan-Downloader.Agent.35

Fuente : V S Antivirus
__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad
caminero21 está desconectado
Respuesta rápida a este mensaje
Responder Citando Subir
Publicidad: Conoce las ofertas de ANUNCIATE
Antiguo 30/12/2005, 23:08   #2
Efirenet
Usuario Activo
 
Avatar de Efirenet
 
Fecha de ingreso: 06/dic/2004
Mensajes: 84
Efirenet llegará a ser famoso muy pronto
Hola, resumiendo un poco. La solución (hasta que Microsoft saque el parche) es desactivar la biblioteca Shimgvw.dll utilizada por el Visor de imágenes y Fax de Windows, y que está siendo aprovechada por los archivos WMF maliciosos conocidos hasta la fecha.

Para los que no sepan como se hace esto es muy simp:
[LIST]
[*]Desde el menú Inicio, seleccionar Ejecutar, y teclear: [B]regsvr32 -u %windir%\system32\shimgvw.dllB]
[*]Aparecerá una ventana informando de que la operación se ha realizado con éxito. Actamos
[/LIST]Como consecuencia de hacer esto el Visor de Imágenes y Fax de Windows no funcionará cuando intentemos abrir directamente un archivo asociado a esta aplicación, ni podremos previsualizar los archivos WMF en Explorer.

Cuando Microsoft publique e instalemos el parche para corregir la vulnerabilidad podremos reestablecer la funcionalidad de esta aplicación con los mismos pasos descritos anteriormente, pero ejecutando en esta ocasión el comando:
[B]regsvr32 %windir%\system32\shimgvw.dll[/B]

Un saludo y felices fiestas
Efirenet está desconectado
Respuesta rápida a este mensaje
Responder Citando Subir
Antiguo 05/01/2006, 12:47   #3
caminero21 
Moderador Indio
 
Avatar de caminero21
 
Fecha de ingreso: 13/nov/2003
Mensajes: 742
caminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededor
Todo lo que hay que saber sobre el exploit WMF

Esta información está recogida de diferentes fuentes (algunas de las cuáles se mencionan al final de este artículo), y también de diversas pruebas que hemos realizado en nuestro laboratorio.

- ¿Abrir un archivo WMF con un editor como MSPAINT es seguro?

No, no es seguro aunque usted haya desregistrado el componente SHIMGVW.DLL. Incluso si un archivo .WMF es renombrado, MSPAINT (Paint), el editor de imágenes que trae Windows por defecto, abre el archivo y eso provoca la ejecución del exploit.

- ¿Utilizar un visualizador de terceros, como IrfanView o ACDSEE es seguro?

No, no lo es. Aunque se haya desregistrado SHIMGVW.DLL, al abrir un archivo .WMF con el IrfanView o IrfanView Thumbnails, puede provocar la ejecución del exploit.

- ¿Cuántos sitios o troyanos explotan actualmente esta vulnerabilidad?

La cantidad de sitios y de troyanos que se aprovechan de esta vulnerabilidad aumenta todos los días. Ya no es práctico tampoco filtrar algunos sitios como muchos aconsejaron al comienzo, ya que esta cantidad es enorme, y además cambia segundo a segundo.

- ¿Es seguro filtrar solo archivos con extensión .WMF?

No, no es seguro. Existen métodos para explotar esta vulnerabilidad utilizando otras extensiones asociadas al visor de imágenes y fax de Windows, como por ejemplo BMP, DIB, EMF, GIF, ICO, JFIF, JPE, JPEG, JPG, PNG, RLE, TIF, TIFF, etc. Además, muchos programas (como MSPAINT), interpretan el archivo WMF como tal aún cuando lo renombremos como JPG por ejemplo. Esto es porque leen los datos de su cabecera (los llamados "bytes mágicos"), sin tomar en cuenta la extensión. Por esta razón no es válida ninguna solución que pase por filtrar archivos por su extensión o tipo.

- ¿Es vulnerable Google Desktop?

Google Desktop no es directamente vulnerable, pero como dicha aplicación (y otras similares), crean un índice de archivos para hacer su búsqueda más rápida, al momento de indexar archivos con extensión .WMF que contengan el exploit, el mismo es ejecutado. Cómo esto ocurre sin que siquiera el usuario haya intentado abrir o visualizar un archivo vulnerable, aconsejamos no utilizar esta aplicación ni ninguna otra que realice búsquedas de archivos en su computadora.

- ¿Cuál es el uso más extenso que se ha dado al exploit?

Todos los exploits conocidos descargan y ejecutan otros archivos (generalmente troyanos), de Internet. El primer exploit que fue detectado, descrito en nuestro artículo "Alerta: Troyano que se ejecuta mediante archivos WMF", [url]http://www.vsantivirus.com/28-12-05.htm[/url], creaba un archivo A.EXE que al ejecutarse, intentaba descargar otro archivo desde la web. Actualmente, la mayoría de los exploits al ejecutarse, despliegan alguna clase de alerta de texto, por ejemplo una ventana de información (tipo globo), donde se le indica al usuario que está infectado con algún adware o spyware ("Your computer is infected!", etc.), y se le pide descargar un programa para limpiar la infección. Muchos de esos programas anti-spywares, figuran en nuestro listado "Anti Spywares sospechosos o no confiables (28/12/05)", [url]http://www.vsantivirus.com/lista-nospyware.htm)[/url].

De todos modos, el escenario no está limitado a este tipo de acción, ya que al poderse ejecutar un código sin el conocimiento del usuario, cualquier acción maliciosa es posible. La razón de que la mayoría de los exploits conocidos a la fecha hagan cosas similares, es porque al haber sido hecho público el código del mismo, cualquiera puede crear su propio troyano. Cómo la mayoría de las personas no tienen los conocimientos necesarios, simplemente se dedican a cortar y pegar, y a cambiar unos pocas líneas del código original.

- ¿Estoy protegido si no utilizo Internet Explorer?

No se está totalmente protegido si se utiliza por ejemplo Firefox en lugar de Internet Explorer. Versiones más antiguas de Firefox (1.0.x), abren las imágenes WMF con el visor de imágenes y fax de Windows y son vulnerables. La versión más reciente (1.5.x), intentan abrirlas con el Reproductor de Windows Media, que no es vulnerable. Opera también abre estas imágenes con el visor de imágenes y fax de Windows. De todos modos, todos estos navegadores le preguntan al usuario si desea abrir dichos archivos.

Además, recuerde que la infección vía Web es solo uno de los escenarios posibles. Basta abrir una carpeta que contenga un archivo WMF para que el exploit se ejecute, siempre que tenga activo el visor de imágenes y fax de Windows. Y en esto no importa que navegador se esté utilizando.

- Microsoft recomienda también utilizar la protección DEP, ¿esto es efectivo?

DEP (Data Execution Prevention o "Prevención de ejecución de datos"), es una característica que se instala en Windows XP SP2, Windows Server 2003 SP1 y Windows XP Tablet PC Edition 2005, y que permite proteger el sistema de la ejecución de código malicioso en alguna parte de la memoria marcada sólo para datos. Esta protección puede aplicarse a nivel de hardware en los equipos más modernos, cuyos microprocesadores contengan dicha función, o en caso contrario a nivel de software. Cuando la protección es a nivel de software solamente (la mayoría de los equipos actuales no lo soporta por hardware aún), entonces el exploit igual se ejecuta. Por lo tanto, no recomendamos este tipo de protección, salvo que usted esté seguro que su computadora soporta esta protección por hardware (esto se explica en el artículo "La vulnerabilidad WMF y la solución basada en DEP", [url]http://www.vsantivirus.com/30-12-05.htm[/url])

- ¿Que hace exactamente que funcione el exploit?

Aunque actualmente el componente relacionado con el exploit es la biblioteca SHIMGVW.DLL, la razón de que se pueda ejecutar código, está en las características de la interfase gráfica de Windows (Windows Graphic Display Interface o GDI).

La interfase gráfica es la que permite a las aplicaciones utilizar gráficos y textos con formato. Las aplicaciones pueden utilizar llamadas especiales a la GDI para controlar funciones que directamente no podrían hacer, por ejemplo, detener un trabajo de impresión.

Los archivos WMF (Windows Metafile), son archivos gráficos que contienen además secuencias de llamadas a funciones GDI. La imagen es creada (visualizada), ejecutando dichas funciones.

El problema se presenta porque algunas de esas funciones pueden corromperse. El exploit actualmente en circulación, se vale de una función que ya es obsoleta, y se conserva solo por compatibilidad con las versiones de 16 bit de Windows. En concreto, es la secuencia de escape GDI llamada SETABORTPROC, la que el exploit utiliza para ejecutar código de forma arbitraria cuando un archivo WMF es visualizado. Sin embargo, otras funciones similares también podrían ser explotadas en el futuro.

Aunque el exploit actual se basa en el visor de imágenes y fax de Windows (SHIMGVW.DLL), la vulnerabilidad principal se encuentra en la biblioteca de la interfase gráfica propiamente dicha (GDI32.DLL, Windows Graphical Device Interface library). Desregistrar SHIMGVW.DLL solo nos protege del exploit actualmente hecho público. De todos modos, no se conocen al momento exploits para otros componentes relacionados con el GDI.

- ¿Sólo Windows o el Internet Explorer son vulnerables?

Esta vulnerabilidad afecta directa o indirectamente a otras aplicaciones, al momento actual se han confirmado las siguientes:

Google Desktop
Lotus Notes

Otras aplicaciones que visualicen o indexen archivos WMF también son indirectamente vulnerables (Firefox y Opera por ejemplo, aunque según la versión, y con la ventaja de que preguntan al usuario antes de abrir un archivo WMF).

- ¿Cuál es la protección más efectiva?

No existe una protección definitiva, hasta que Microsoft no publique un parche que corrija el problema. Mientras tanto, han surgido algunas soluciones alternativas, e incluso un parche NO OFICIAL.

Una de las soluciones, es la de desregistrar el componente SHIMGVW.DLL como se explica en el siguiente artículo:

Vulnerabilidad en visor de imágenes y fax de Windows
[url]http://www.vsantivirus.com/vul-windows-shimgvw-281205.htm[/url]

Cómo este tipo de protección crea algunas dificultades a quienes hacen uso intensivo de la capacidad de vistas previas, o aún la de visualización de faxes, hemos creado una pequeña utilidad que puede descargar desde el siguiente enlace:

[url]http://www.videosoft.net.uy/wmf-prot.vbs[/url]

Descargue este archivo en su escritorio para que le quede a mano. Cuando usted haga clic en él, una simple ventana de opciones le preguntará lo siguiente:

"Pulse Si para desregistrar No para registrar"

El script solo hace eso. La idea es que le permita quitar la protección (cuando no navegue, y no abra archivos descargados de Internet), y solo lo precise para su trabajo. Luego le aconsejamos que siempre recuerde volver a aplicar la protección (o sea pulsar en SI).

Esta herramienta es muy elemental. Por ejemplo, no discierne si ya ha sido aplicada la protección o no (sólo aplíquela si duda haberlo hecho, ya que no tiene consecuencias secundarias si la acción se repite). Pero la idea es que lo ayude si realmente trabaja con las vistas previas, miniaturas o imágenes que la protección altera. Pero sea consciente que la mayoría del tiempo, debería tener la protección activa. Además, cuando la tenga desactivada, no olvide que si usa programas que indexan archivos (como Google Desktop), podrían ejecutarse exploits de archivos descargados de Internet, por lo que le aconsejamos no instalar herramientas como la de Google.

La solución del parche NO OFICIAL, surgió luego de la revelación de que se había hecho público un nuevo código para el exploit de esta vulnerabilidad.


- ¿Puedo usar solo este parche y no desregistrar SHIMGVW.DLL?

Según publica el Internet Storm Center, el consejo es desregistrar SHIMGVW.DLL y aplicar el parche no oficial.

Ambas soluciones son necesarias, por lo que recomendamos utilizar LOS DOS METODOS sugeridos de protección.

La forma de descargar ese parche (y el porqué aconsejamos en esta oportunidad un parche que no es oficial, cuando no es la solución ideal), se explica en los siguientes artículos:

Parche NO oficial para la vulnerabilidad WMF
[url]http://www.vsantivirus.com/vul-wmf-parche.htm[/url]

El problema WMF y la ética de una computación confiable
http://www.vsantivirus.com/01-01-06....vuls/id/181038

Microsoft Windows Metafile Handling Buffer Overflow
[url]http://www.us-cert.gov/cas/techalerts/TA05-362A.html[/url]

Microsoft Security Advisory (912840)
Vulnerability in Graphics Rendering Engine Could Allow Remote Code Execution.
[url]http://www.microsoft.com/technet/security/advisory/912840.mspx[/url]

Windows WMF 0-day exploit in the wild
[url]http://isc.sans.org/diary.php?rss&storyid=972[/url]

Update on Windows WMF 0-day
[url]http://isc.sans.org/diary.php?storyid=975[/url]

Microsoft Windows WMF "SETABORTPROC" Arbitrary Code Execution
[url]http://secunia.com/advisories/18255/[/url]

Microsoft Windows Graphics Rendering Engine
WMF Format Unspecified Code Execution Vulnerability
[url]http://www.securityfocus.com/bid/16074[/url]

Q-085: Microsoft Windows Metafile File (WMF) Handling Vulnerability
[US-CERT Vulnerability Note VU#181038]
[url]http://www.ciac.org/ciac/bulletins/q-085.shtml[/url]

Microsoft Windows WMF Handling Remote Code Execution Vulnerability
[url]http://www.juniper.net/security/auto/vulnerabilities/vuln2830.html[/url]

F-Secure weblog
[url]http://www.f-secure.com/weblog/archives/archive-122005.html#00000755[/url]

Fuente : V S Antivirus
__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad
caminero21 está desconectado
Respuesta rápida a este mensaje
Responder Citando Subir
Antiguo 05/01/2006, 12:48   #4
caminero21 
Moderador Indio
 
Avatar de caminero21
 
Fecha de ingreso: 13/nov/2003
Mensajes: 742
caminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededor
Parche NO oficial para la vulnerabilidad WMF

El Internet Storm Center del Sans Institute, recomienda enfáticamente la instalación de un parche NO OFICIAL creado por Ilfak Guilfanov para la vulnerabilidad WMF. No es común la recomendación de parches no oficiales, sobre todo cuando se trata del sistema operativo. En este caso se justifica su instalación por tratarse de un problema extremadamente grave.

En el artículo "El problema WMF y la ética de una computación confiable", http://www.vsantivirus.com/01-01-06.htm" se dan más argumentos para esta decisión.

Por lo pronto, el parche, que puede ser descargado del ISC, puede instalarse en múltiples configuraciones de Windows 2000, XP 32-bit, XP 64-bit, y Windows Server 2003.

Este parche NO remueve ninguna funcionalidad conocida del sistema, por ejemplo, todas las imágenes continúan siendo visibles.

Técnicamente, el parche inyecta su propia DLL (WMFHOTFIX.DLL) a todos los procesos que carga USER32.DLL (el API que maneja la interacción de las aplicaciones con el usuario). Para ello crea la siguiente clave del registro:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs = C:\WINDOWS\system32\wmfhotfix.dll

Tenga en cuenta que esto afecta a todos los procesos que utilizan USER32.DLL.

Una vez en memoria, la biblioteca WMFHOTFIX.DLL parchea la función "Escape()" en GDI32.DLL, la interfase gráfica de Windows (Windows Graphic Display Interface o GDI).

Como resultado, la secuencia de escape SETABORT (SETABORTPROC), culpable de la ejecución de código en archivos WMF, ya no es aceptada.

El autor aclara que el parche deshabilita completamente esta función (función que ya es obsoleta, y se conserva solo por compatibilidad con las versiones de 16 bit de Windows), por lo que alguna aplicación o característica de Windows podría no funcionar (en nuestras pruebas, ninguna función, programa o característica conocida dejó de funcionar, y aunque es evidente que no se puede asegurar que todos los programas funcionarán correctamente, es poco probable que afecte aplicaciones conocidas y usadas actualmente).

Si por alguna razón se deseara quitar este parche (o cuando Microsoft publique su actualización oficial), solo basta con desinstalarlo desde "Agregar o quitar programas" del Panel de control, donde aparece listado como "Windows WMF Metafile Vulnerability HotFix".

El parche puede ser descargado del siguiente enlace:

http://handlers.sans.org/tliston/wmffix_hexblog14.exe

Para comprobar la validez de la descarga, el ISC ofrece el siguiente resumen MD5:

MD5: 15f0a36ea33f39c1bcf5a98e51d4f4f6 - wmffix_hexblog14.exe

El mismo está firmado con la llave PGP del SANS Institute que puede conseguirse en el siguiente enlace:

[url]http://handlers.sans.org/tliston/wmffix_hexblog14.exe.asc[/url]

Los resúmenes MD5 (acrónimo de Message-Digest Algorithm 5, Algoritmo de Resumen del Mensaje 5), se utilizan extensamente en el mundo del software para proporcionar la seguridad de que un archivo descargado de Internet no se ha alterado. Comparando una suma MD5 publicada con la suma de comprobación del archivo descargado, un usuario puede tener la confianza suficiente de que el archivo es igual que el publicado por sus creadores.


* ¿Puedo usar solo este parche y no desregistrar SHIMGVW.DLL?

Según publica el Internet Storm Center, el consejo es desregistrar SHIMGVW.DLL y aplicar el parche no oficial.

Ambas soluciones son necesarias, por lo que recomendamos utilizar LOS DOS METODOS sugeridos de protección.

Para desregistrar el componente SHIMGVW.DLL, puede utilizar la utilidad creada por VSAntivirus, y que puede descargar desde este enlace:

[url]http://www.vsantivirus.com/faq-wmf-exploit.htm[/url]


Más información:

Updated version of Ilfak Guilfanov's patch (NEW)
[url]http://isc.sans.org/diary.php?storyid=999[/url]

Windows WMF Metafile Vulnerability HotFix
http://www.hexblog.com/2005/12/wmf_vuln.html

Fuente : V S Antivirus
__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad
caminero21 está desconectado
Respuesta rápida a este mensaje
Responder Citando Subir
Antiguo 05/01/2006, 12:53   #5
caminero21 
Moderador Indio
 
Avatar de caminero21
 
Fecha de ingreso: 13/nov/2003
Mensajes: 742
caminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededor
NOD32 crea parche dinámico para vulnerabilidad WMF

ESET, fabricante de NOD32, ha publicado un parche provisorio para la vulnerabilidad WMF. Mientras tanto, Microsoft continúa recibiendo fuertes críticas por su demora en publicar el parche oficial.

La razón de que cada vez sean más quienes recomienden este tipo de solución, está en la peligrosidad del asunto, y en la gran cantidad de usuarios susceptibles al mismo.

"Muchos usuarios no se han dado cuenta del problema, y aún se quejan de la falta de funcionalidad que algunas de las medidas sugeridas en un primer momento, crean en el uso diario de su equipo", dice Jose Luis Lopez de VSAntivirus y director técnico de NOD32 Uruguay. "El tema es muy grave, y solo por milagro no han ocurrido grandes crisis en el tiempo en que esta vulnerabilidad ha sido descubierta y el día de hoy, como bien comprendimos quienes en la noche del 31 de diciembre nos enfrentamos a la aparición de un exploit modificado que en un primer momento, ningún antivirus detectó".

Sin embargo, los responsables del Centro de Respuesta de la Seguridad de Microsoft, en medio de la lluvia de críticas, han anunciado su parche para el próximo martes (10/ene/06). Tom Liston del Internet Storm Center dice: "En su visión atractiva del futuro, para Microsoft nada va a ocurrir en los próximos siete días".

Pero está ocurriendo. El mayor vector de ataque al momento actual, son las imágenes descargadas de sitios web, una lista enorme que crece cada día. Además, una herramienta capaz de crear este tipo de exploits ha sido hecha pública, y en teoría cualquier persona podría crear su malware "a medida".

"Si bien es cierto que esta herramienta no representa al momento actual una gran amenaza, porque posee algunos fallos y en realidad no funciona como debería, también es cierto que cada vez recibimos más información de sitios que utilizan el exploit para convertir las máquinas de los usuarios en zombis, por medio de troyanos que son descargados en su PC", dice Lopez. "Una de las grandes ventajas que por ahora tenemos, es que los malos no han creado un troyano totalmente nuevo para sacar provecho de este fallo, y utilizan los ya existentes, como mucho recomprimiéndolos para tratar de eludir la detección de los antivirus".

"Pero nadie, ni Microsoft, puede afirmar tan tranquilamente que nada ocurrirá hasta que el parche oficial sea publicado. Cada día que pasa, el medidor de presión aumenta, y nos podemos ver enfrentados a algo mucho más grave de lo que algunos piensan", afirma Lopez.

Por su parte, Ignacio M. Sbampato, vicepresidente de ESET para Latinoamérica comenta: "Es que, dada la gran cantidad de usuarios que navegan por Internet utilizando el sistema operativo Windows, el alcance que pueden tener los troyanos como los antes mencionados es altísimo. Esto pone en riesgo la seguridad de miles de miles de equipos y redes informáticas, y amerita una rápida respuesta y solución."

Si bien es cierto que el exploit actual, afecta directamente solo a usuarios de Windows XP y Windows Server 2003, los elementos vulnerables existen en todos los Windows, incluso los publicados antes de 1990, como afirma F-Secure. Con toda la información disponible actualmente en Internet para el que quiera buscarla, nadie puede asegurar que alguien no encuentre la forma de explotar el problema en otros Windows.

El parche original creado por Ilfak Guilfanov, un reconocido experto informático, y promocionado enfáticamente por el Internet Storm Center del Sans Institute (ver "Parche NO oficial para la vulnerabilidad WMF", [url]http://www.vsantivirus.com/vul-wmf-parche.htm)[/url], funciona solo en Windows 2000, Windows XP de 32 y 64-bit, y en Windows Server 2003.

Estos Windows poseen la biblioteca del visor de imágenes y fax que el exploit utiliza como lanzador de su código maligno, pero el problema está en las características de la interfase gráfica de Windows (Windows Graphic Display Interface o GDI), un elemento presente en todos los Windows, desde las versiones de 16-bit.

"Lo que hace diferente al parche provisorio publicado por ESET, es que habilita la protección para este elemento, en todos los Windows actualmente instalados en millones de computadoras del mundo entero, desde el 98 al Server 2003 (aunque no funciona con las versiones de 64-bit de Windows XP)", informa Lopez. "Además, es un parche dinámico, es decir, no requiere el reinicio del equipo al ser instalado, a diferencia del parche de Guilfanov."

"Como el parche anterior, tampoco modifica o toca el código original de Windows, pero a diferencia de aquél, no utiliza solamente la clave del registro 'AppInit_DLLs' para ser cargada en el espacio de memoria de las direcciones de los procesos, de tal modo que puede funcionar no solo en XP", dice Paolo Monti, responsable de NOD32 Italia, y creador de este parche. "En lugar de ello, utiliza hooks (ganchos) dinámicos de las APIs de Windows. El parche se instala en modo silencioso, usted solo recibe un mensaje de advertencia si falla la instalación o inyección del proceso", dice Monti.


* Las principales ventajas y diferencias son:

- Funciona en Windows 98, Me, XP, 2000 y 2003

- Es completamente dinámico. No es necesario reiniciar el equipo para ejecutarlo o desinstalarlo.

- Se puede descargar de memoria con el parámetro /u

- También se puede desinstalar desde Agregar o quitar programas.

- Puede dejar de utilizarse la solución de desregistrar el componente SHIMGVW.DLL del visor de imágenes de Windows, que tan molesto es para quienes hacen uso extensivo de la visualización de imágenes en su PC.


* Descarga del parche

El parche de ESET puede ser descargado de la siguiente dirección:

[url]http://www.nod32.it/getfile.php?tool=wmfpatch[/url]

NOTA: Si ya tiene instalado el parche de Guilfanov, debe desinstalarlo antes, desde "Agregar o quitar programas" del panel de control. También antes, debe registrar el componente SHIMGVW.DLL. Esto puede hacerse muy fácilmente con la siguiente utilidad:

[url]http://www.videosoft.net.uy/wmf-prot.vbs[/url]

Descargue WMF-PROT.VBS en su escritorio, haga clic en él, y responda NO en la ventana con el siguiente mensaje:

"Pulse Si para desregistrar No para registrar"

Luego de ello, ejecute el parche de ESET.

Para desinstalar este parche en el momento que lo desee, o para instalar la solución de Microsoft cuando esté disponible, simplemente seleccione Inicio, Panel de Control, Agregar o quitar programas, y desinstale el programa "GDI32 - WMF Match" que aparece en el listado de programas instalados.

Fuente : V S Antivirus
__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad
caminero21 está desconectado
Respuesta rápida a este mensaje
Responder Citando Subir
Publicidad: Conoce las ofertas de ANUNCIATE
Respuesta


Usuarios viendo actualmente este tema: 1 (0 usuarios registrados y 1 visitantes)
 

Permisos para publicar mensajes
No puedes crear nuevos temas
No puedes responder mensajes
No puedes subir archivos adjuntos
No puedes editar tus mensajes

Los BB code están Activado
Los Emoticones están Activado
El código [IMG] está Activado
El Código HTML está Activado

Ir al foro

Temas similares
Tema Autor Foro Resp. Último mensaje
mi windows xp no arranca despues de desfragmentar meda SOFTWARE del PC - PROGRAMAS y S.O. 8 29/09/2005 11:24
Bagle.BI. Elimina antivirus y descarga archivos caminero21 SOFTWARE del PC - PROGRAMAS y S.O. 0 20/09/2005 10:17
Manual para meter varios juegos en un dvd Unkash Chinchetas PS2 0 13/05/2005 23:55
Curso de ripeo de juegos de ps2 chory DivX, VCD, DVD, Rippeo - IMAGEN Digital 0 06/09/2003 14:50


!! ADVERTENCIAS !!: Las informaciones aquí publicadas NO CONTIENEN KEYS para la decodificación de ningún sistema: NO SON OPERATIVOS en sistemas SAT que precisen de su correspondiente suscripción.

ESTA TOTALMENTE PROHIBIDO EL USO DE ESTAS INFORMACIONES PARA LA MODIFICACIÓN O  DEFRAUDACIÓN DE SISTEMAS DE ACCESO CONDICIONAL.

ESTOS FOROS SON MODERADOS Y NO SE PERMITE LA PUBLICACIÓN DE INFORMACIONES ILEGALES POR PARTE DE LOS USUARIOS. EN CASO DE DETECTARSE ESTE TIPO DE INFORMACIONES, LOS USUARIOS SERÁN EXCLUIDOS DE ESTAS PÁGINAS.

USO DE COOKIES: Utilizamos COOKIES y de terceros para mejorar nuestros servicios y navegación por la web. Si continua navegando, consideramos que acepta su uso.  


La franja horaria es GMT +2. Ahora son las 01:48.


-------------------------------------------------------------------- --------------------------------------------------------------------

Powered por vBulletin™ Version 3.8.10
Copyright © 2024 vBulletin Solutions, Inc. All rights reserved.
Traducido por vBsoporte - vBulletin en español
Hispaservicios - J.G.C - 29112549T - Rio Cinca, 2, 30 (50180) SPAIN.
Todos los derechos reservados. Prohibida cualquier reproducion total o parcial.


Foros Patrocinados por anunciantes.