Skip to content

Y llegó el jaleo: Problemas con Windows WMF

Publicado por Sergio Hernando el 28 diciembre 2005

La bomba saltaba esta mañana, con el anuncio de una vulnerabilidad extremadamente crítica relativa al tratamiento de archivos de metadatos de Windows (WMF, Windows Meta Files)

spyware

La evolución a lo largo de la tarde no ha sido muy esperanzadora: SANS ha pasado a alerta amarilla a las 19 horas UTC, sigue sin haber parche y el fichero original, albergado originalmente en unionseek.com, ha sido detectado al menos, en estos dominios:

Crackz [dot] ws
www.tfcco [dot] com
Iframeurl [dot] biz
beehappyy [dot] biz

Como era de esperar, hay diversos tipos de WMF con distinto payload. Los de F-secure han dado con 3 especímenes, y los llaman W32/PFV-Exploit.A, .B y .C. Las nomenclaturas varían según el motor antimalware que las detecte: otros nombres posibles son Trojan-Downloader.Win32.Agent.abs, Trojan-Dropper.Win32.Small.zp, o Trojan.Win32.Small.ga y Trojan.Win32.Small.ev. Lo grave del asunto es que los avisos originales apuntaban a que el problema era la gestión de los WMF vía Microsoft Picture and Fax Viewer, si bien se confirma que cualquier aplicación que ejecute automáticamente los WMF es fuente de problemas: Por ejemplo, Google Desktop. El jaleo está servido.

Sobre la sorpresita que albergan los WMF maliciosos que hay dando vueltas por ahí no hay nada en claro: probablemente, abran backdoors para que después nos usen como integrantes de un botnet, a saber lo que han metido en los 5800 y pico bytes disponibles para el payload. Por otro lado, se confirma que los settings por defecto el sistema DEP Data Execution Protection del service pack XPSP2, NO impiden que funcione el exploit. Mal asunto para lo que queda de día y las próximas jornadas.

Hasta que Microsoft saque un parche, la recomendación más sensata es filtrar a todos los niveles los ficheros WMF (web y correo, principalmente). Los usuarios domésticos deberían, hasta haber actualizado, extremar el cuidado a la hora de navegar (no usando Internet Explorer) y gestionando el correo (borrando mensajes de origen sospechoso). Cualquier medida para impedir que uno de esos WMF acabe en vuestros ordenadores, buena es.

Más información en Sunbelt y en SecurityFocus.

PD: Con esta noticia, estreno categoría en el blog: Malware, donde colocaré noticias relativas a troyanos, dialers, backdoors, virus y en definitiva, malware en general. Espero os guste :)

Be Sociable, Share!

Categoría/s → Malware

8 comentarios
  1. 28 diciembre 2005
    Grohl permalink

    WMF:
    A graphic file format used by Microsoft to transfer graphics between Windows applications. Both bitmap and vector graphics are supported by WMF. A variation on WMF is and extended version known as EMF.

    Supongo que los ficheros EMF estarán tambien afectados

    Quizá el problema sea la ejecución no intencionada por parte del usuario de estos ficheros , como con Google Desktop ( segun comentas ) o IExplorer.
    Me pregunto si MS Powerpoint puede verse afectado al abrir un fichero…

  2. 29 diciembre 2005
    Grohl permalink

    Ummm
    Una pregunta …
    ¿ Tiene algo que ver esta vulnerabilidad con esta otra :

    http://www.microsoft.com/downloads/details.aspx?familyid=E38372B2-3BF6-4393-B9A4-F34248C8073E&displaylang=en

    ?

    Es de Julio.

    O este otro enlace de primeros de Noviembre :

    http://www.vsantivirus.com/vulms05-053.htm

  3. 29 diciembre 2005

    Hay un motor antivirus, que ahora mismo no recuerdo, que esta tarde hacía referencia explícita a la MS05-53 cuando analizaba el fichero malicioso. Yo no soy un experto en malware y no me atrevo a afirmarlo rotundamente, pero me da que estamos ante un caso de un problema que si bien pudiera tener algo que ver con MS05-053 Ejecución de código imágenes WMF/EMF), es un bug que desde luego era desconocido previamente.

    De todos modos, hasta que Microsoft no saque parche oficial y boletín asociado, no te tomes muy en serio mi afirmación. No me atrevo a mojarme :)

    Pero sin duda, recuerda mucho al fallo anterior. Lo que es peor, sin duda, es que el fallo, aparentemente, otorga privilegios plenos a los atacantes y esto es un hecho muy grave.

    Esperaremos la evolución del caso. Un saludo ;)

  4. 29 diciembre 2005

    Os os perdáis a Scobleizer:

    Microsoft customer warning: Bad exploit in Windows

    Y el Microsoft Security Response Center Blog sin publicar nada. Que Dios pille confesados a los sysadmins de plataformas MS …

  5. 29 diciembre 2005
    Grohl permalink

    Parece que efectivamente es un agujero de seguridad vigente, sin parche conocido, aunque sí con algún workaround

    http://www.hispasec.com/unaaldia/2623

  6. 29 diciembre 2005

    Grohl,

    Se había quedado un mensaje tuyo en cola de moderación, y es que tengo algunas palabras sajonas en “moderate” porque me vienen algo así como 200 emails diarios de spam inglés. A ver si monto un captcha.

    Decías que “Quizá el problema sea la ejecución no intencionada por parte del usuario de estos ficheros , como con Google Desktop ( segun comentas ) o IExplorer. Me pregunto si MS Powerpoint puede verse afectado al abrir un fichero…”

    Efectivamente, el problema es crucial cuando se ejecutan los WMFs maliciosos sin intervención del usuario. Igual de malo es ejecutarlos intencionadamente, abriéndolos manualmente, pero qué duda cabe que peor es que se ejecuten sin nosotros intervenir.

    Se confirma la ejecución automática en Firefox 1.0.4 (no sé si en más versiones) en Google Desktop (porque al indexar los ejecuta) y en Internet Explorer. De Powerpoint de momento no hay nada, así que no sabría si es potencialmente peligroso. No sé como incrusta PP los metadatos en las presentaciones, pero intuyo que al hacerlo las ejecuta, si no totalmente, parcialmente, con lo que no creo que ningún atacante opte por esa vía. Pero no te lo puedo confirmar :)

    Saludos,

Trackbacks & Pingbacks

  1. meneame.net
  2. Sergio Hernando » Archivo del Blog » Se armó el Belén. Microsoft confirma la vulnerabilidad al procesar .WMF

Escribir un comentario

Note: XHTML permitido. Tu email nunca será publicado.

Suscribirse a los comentarios via RSS