Se armó el Belén. Microsoft confirma la vulnerabilidad al procesar .WMF

Tal y como era de esperar, se ha confirmado que lo de los WMFs es una vulnerabilidad, y de las gordas. Ayer mismo en este blog ya barajaba el amigo Grohl la posibilidad, la cual sin mojarme, consideré probable.

Ayer a última hora sacaron el boletín correspondiente en Redmond, el cual es para echarse a temblar: no proporciona parches, aún pendientes de liberación, para una vulnerabilidad que permite de modo remoto obtener acceso a los sistemas, y en plataformas de todo tipo: Windows ME, Windows 2000, Windows XP y Windows 2003.

El CERT se ha hecho eco, y ha emitido boletín al respecto. Se confirma que la vulnerabilidad está causada por un error en la gestión de los ficheros de metadatos especialmente preparados que contengan registros tipo SETABORTPROC, que fijan los procedimientos de escape o funciones de aborto.

Una nueva lista de dominios a filtrar sería la siguiente:

toolbarbiz[dot]biz
toolbarsite[dot]biz
toolbartraff[dot]biz
toolbarurl[dot]biz
buytoolbar[dot]biz
buytraff[dot]biz
iframebiz[dot]biz
iframecash[dot]biz
iframesite[dot]biz
iframetraff[dot]biz
iframeurl[dot]biz

A la hora de publicar esta nota, se confirma que, al menos, hay por ahí circulando 57 tipos distintos de WMFs que explotan esta vulnerabilidad.

Las recomendaciones más consecuentes en este caso son filtrar los ficheros .WMF, filtrar en los firewalls y proxies los dominios que vayan apareciendo con el exploit servido en bandeja, no emplear Internet Explorer para navegar, puesto que permite la ejecución automática de WMFs, evitar el uso de Google Desktop, puesto que ejecuta los exploits al indexar WMFs, mantener actualizados al minuto los antivirus, y como es lógico, no aceptar ficheros sospechosos por mensajería instantánea, email, IRC y/o similares.

Saludos :)