Feliz año a todos 
Sobre el problema de tratamiento de ficheros .WMF del que llevamos hablando varios días, tenemos a día de hoy algunas novedades.
En Hispasec publicamos antes de ayer algunas consideraciones al respecto, como la actualización del boletín por parte de Microsoft, entre otras. Hoy, el ISC del SANS, vuelve a publicar una actualización con información importante.
Por un lado, ofrecen una lista de bloqueos recomendados. Además, nos informan de la disponibilidad de un parche no oficial, programado por Ilfak Guilfanov (tiene guasa que Microsoft no se haya mojado a estas alturas). Este parche, descargable aquí, está dando buenos resultados cuando es aplicado tras desregistrar la DLL que está originando los problemas. Por otro lado, se puede ver cómo actúa el exploit en este vídeo, el cual es bastante instructivo.
A los usuarios, recomendarles que desregistren la DLL problemática, y que parcheen con el parche no oficial. Es algo imperativo, ya que el número de máquinas activas es creciente, y la cosa no tiene visos de ir a menos. Para desregistrar la DLL shimgvw.dll, la sinaxis a ejecutar (menú Inicio --> ejecutar) sería la siguiente:
regsvr32 -u %directorio_de_instalación_windows%\system32\shimgvw.dll
Por ejemplo, si el directorio de instalación es c:\windows, la sintaxis sería
regsvr32 -u c:\windows\system32\shimgvw.dll
Una vez resregistrada la DLL, simplemente basta con instalar el parche. Cuando aparezca el parche oficial, habrá que volver a registrar la DLL y desinstalar el parche.
Saludos, y precaución. Y Feliz 2006
UPDATE (2 enero): Empiezan a causar estragos los ataques dirigidos por correo. Más información en F-Secure, en Blog Laboratorio y en "una-al-dia".
Cito a Bernardo, al hilo de las nuevas formas de ataque:
Esta vez el problema pinta peor, se trata de un nuevo exploit de la vulnerabilidad WMF que ha sido enviado de forma masiva, a modo de spam, y que se presenta bajo el nombre de "HappyNewYear.jpg". Si, la extensión real es JPG, un formato que hasta la fecha cualquiera consideraría confiable. Pero la vulnerabilidad WMF pone en cuarentena cualquier formato gráfico, ahora ha sido JPG, mañana puede ser presentarse un exploit bajo GIF, BMP, etc.
UPDATE (1 enero): Publicada utilidad que verifica si somos o no vulnerables ante el ataque. Pero léase con cautela lo que su autor nos dice:
Do not use this check as a definite answer to the WMF vulnerability question. But if your system was vulnerable, it should be invulnerable after installing the hotfix and display the second dialog box. In other words you can use this checker as a means to verify that the hotfix is doing its job. One more word of caution: do not forget to reboot your computer after the installation. If you do not reboot it, the checker will tell you that the system is invulnerable while some systme processes will still be.
Relacionados:
Microsoft publica el parche WMF
Microsoft toca fondo
Y llegó el jaleo: Problemas con Windows WMF
Sergio Hernando: Parche no oficial sobre WMF. Últimas consideraciones. OJITO.
AVISO DE SEGURIDAD. Parece que la gravedad del agujero del WMF en windows no deja de aumentar, asà que habrá que tomárselo muy en serio, sobre todo mañana lunes, con la vuelta a la actividad laboral. Ya estáis tardando en desregistrar shimgvw.dll …
Trackbacks Autor: meneame.net — 2 Enero 2006 @ 1:28 am
Vaya, es muy interesante el video sobre todo porque instala WinHound ( o eso parece).
Hay que ser muy despistado para no saber lo que tienes instalado en tu equipo.
En cualquier caso, al menos en España, el acto siguiente del usuario a la peticion por parte del troyano de compra de la licencia, sería buscar el crack y posiblemente volvería a reinfectarse XD
Comentario Autor: Grohl — 2 Enero 2006 @ 9:41 am
maty@meneame,
Gracias por los tracksbacks !!! Un honor que “meneéis” mis noticias. Saludos para Ricardo y el resto del equipo. Estáis haciendo una labor encomiable.
Grohl,
Lo del vídeo es un buen ejemplo para comprobar lo fácil que es infectarse. El exploit original admitía casi 6000 bytes de payload, así que cualquier porquería puede ir encapsulada en los ficheros maliciosos. Lo del Winhound es ya de por sí una lacra sin fin, ahora potenciada, pero no descartemos payloads mucho más severos y destructivos.
No me quiero ni imaginar que pasaría si la carga de ataque es un borrado de FAT, o la troyanización de formularios para captación de datos por phishing. El horizonte es absolutamente desolador. Veremos cómo evoluciona el día, hoy que se reactiva la actividad laboral y hay muchos muchos infelices que abrirán esos mensajes truculentos de felicitación con regalito.
Un saludo
Comentario Autor: Sergio Hernando — 2 Enero 2006 @ 4:37 pm
[...] En el caso del software privativo, en el que el código fuente es secreto, este no es auditado tan ampliamente y por tanto, tiene más fallos ocultos. Una vez que uno de ellos es descubierto, dependes totalmente de que la empresa lo solucione. Si recordamos la vulnerabilidad WMF de Microsoft Windows vemos que hay casos en los que el fabricante no es diligente y no parchea a tiempo aún cuando existia un parche no oficial desarrollado mediante ingenierÃa inversa. En este caso, el fabricante acabó adelantando el lanzamiento del parche ante la presión externa. Casos como estos, hacen que este tipo de software sea un objetivo relativamente facil para un atacante externo. [...]
Pingback Autor: nexus :: Porqué usar software libre en la administración pública :: February :: 2006 — 5 Febrero 2006 @ 3:48 pm
[...] Microsoft no se comportó de forma diligente y no publico parches aún cuando existÃa un parche no oficial desarrollado mediante ingenierÃa inversa. Microsoft acabó adelantando el lanzamiento del parche ante la presión externa. Pero durante unos dÃas Windows estuvo expuesto auna vulnerabilidad que permitÃa que con solo visitar una web te infectaras (como pasó en foros de AMD) Si queréis más información: http://www.sahw.com/wp/archivos/2006/01/03/microsoft-toca-fondo/ http://www.sahw.com/wp/archivos/2006/01/01/parche-no-oficial-sobre-wmf-ultimas-consideraciones/ http://www.sahw.com/wp/archivos/2006/01/06/microsoft-publica-el-parche-wmf/ [...]
Pingback Autor: Entrada « Consejos. Buenas Prácticas para la Internet. » en la bitácora El Demonio Negro — 24 Febrero 2006 @ 6:45 pm