Feliz año a todos :)
Sobre el problema de tratamiento de ficheros .WMF del que llevamos hablando varios días, tenemos a día de hoy algunas novedades.
En Hispasec publicamos antes de ayer algunas consideraciones al respecto, como la actualización del boletín por parte de Microsoft, entre otras. Hoy, el ISC del SANS, vuelve a publicar una actualización con información importante.
Por un lado, ofrecen una lista de bloqueos recomendados. Además, nos informan de la disponibilidad de un parche no oficial, programado por Ilfak Guilfanov (tiene guasa que Microsoft no se haya mojado a estas alturas). Este parche, descargable aquí, está dando buenos resultados cuando es aplicado tras desregistrar la DLL que está originando los problemas. Por otro lado, se puede ver cómo actúa el exploit en este vídeo, el cual es bastante instructivo.
A los usuarios, recomendarles que desregistren la DLL problemática, y que parcheen con el parche no oficial. Es algo imperativo, ya que el número de máquinas activas es creciente, y la cosa no tiene visos de ir a menos. Para desregistrar la DLL shimgvw.dll, la sinaxis a ejecutar (menú Inicio –> ejecutar) sería la siguiente:
regsvr32 -u %directorio_de_instalación_windows%\system32\shimgvw.dll
Por ejemplo, si el directorio de instalación es c:\windows, la sintaxis sería
regsvr32 -u c:\windows\system32\shimgvw.dll
Una vez resregistrada la DLL, simplemente basta con instalar el parche. Cuando aparezca el parche oficial, habrá que volver a registrar la DLL y desinstalar el parche.
Saludos, y precaución. Y Feliz 2006 :)
UPDATE (2 enero): Empiezan a causar estragos los ataques dirigidos por correo. Más información en F-Secure, en Blog Laboratorio y en «una-al-dia».
Cito a Bernardo, al hilo de las nuevas formas de ataque:
Esta vez el problema pinta peor, se trata de un nuevo exploit de la vulnerabilidad WMF que ha sido enviado de forma masiva, a modo de spam, y que se presenta bajo el nombre de «HappyNewYear.jpg». Si, la extensión real es JPG, un formato que hasta la fecha cualquiera consideraría confiable. Pero la vulnerabilidad WMF pone en cuarentena cualquier formato gráfico, ahora ha sido JPG, mañana puede ser presentarse un exploit bajo GIF, BMP, etc.
UPDATE (1 enero): Publicada utilidad que verifica si somos o no vulnerables ante el ataque. Pero léase con cautela lo que su autor nos dice:
Do not use this check as a definite answer to the WMF vulnerability question. But if your system was vulnerable, it should be invulnerable after installing the hotfix and display the second dialog box. In other words you can use this checker as a means to verify that the hotfix is doing its job. One more word of caution: do not forget to reboot your computer after the installation. If you do not reboot it, the checker will tell you that the system is invulnerable while some systme processes will still be.
Vaya, es muy interesante el video sobre todo porque instala WinHound ( o eso parece).
Hay que ser muy despistado para no saber lo que tienes instalado en tu equipo.
En cualquier caso, al menos en España, el acto siguiente del usuario a la peticion por parte del troyano de compra de la licencia, sería buscar el crack y posiblemente volvería a reinfectarse XD
maty@meneame,
Gracias por los tracksbacks !!! Un honor que «meneéis» mis noticias. Saludos para Ricardo y el resto del equipo. Estáis haciendo una labor encomiable.
Grohl,
Lo del vídeo es un buen ejemplo para comprobar lo fácil que es infectarse. El exploit original admitía casi 6000 bytes de payload, así que cualquier porquería puede ir encapsulada en los ficheros maliciosos. Lo del Winhound es ya de por sí una lacra sin fin, ahora potenciada, pero no descartemos payloads mucho más severos y destructivos.
No me quiero ni imaginar que pasaría si la carga de ataque es un borrado de FAT, o la troyanización de formularios para captación de datos por phishing. El horizonte es absolutamente desolador. Veremos cómo evoluciona el día, hoy que se reactiva la actividad laboral y hay muchos muchos infelices que abrirán esos mensajes truculentos de felicitación con regalito.
Un saludo ;)