Todo sobre la vulnerabilidad en cursores animados

Todo sobre la vulnerabilidad en cursores animados
	VSantivirus No 2409 Año 11, sábado 31 de marzo de 2007 Todo sobre la vulnerabilidad en cursores animados http://www.vsantivirus.com/vul-cve-2007-0038.htm Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Microsoft ha confirmado una vulnerabilidad que afecta a diversas versiones de Windows, y que puede ser explotada a través de archivos .ANI. La extensión .ANI corresponde a los cursores e iconos animados de Windows (Windows Animated Cursor), que consisten en una cantidad determinada de cuadros (imágenes diferentes). La vulnerabilidad se produce por un desbordamiento de pila, cuando Windows procesa archivos .ANI mal formados, en los cuáles la información de referencia en sus cabezales ha sido alterada. Un atacante puede provocar un fallo en forma remota, a través de un archivo .ANI en una página Web maliciosa o desde un correo electrónico, de modo tal que el kernel de Windows calcule una dirección errónea para acceder a un cuadro y entonces falle, provocando la ejecución de código. Se han detectado exploits activos, que descargan y ejecutan diferentes troyanos desde Internet. Los exploits reportados hasta el momento, son interceptados por NOD32, e identificados como Win32/TrojanDownloader.Ani.G o Win32/TrojanDownloader.Ani.Gen. Microsoft ha publicado un aviso de seguridad (Microsoft Security Advisory), identificado como 935423, donde confirma la existencia del exploit, y se refiere al problema que causa esta vulnerabilidad. La ejecución de código mediante este exploit, se realiza con los mismos privilegios del usuario actual. La vulnerabilidad afecta a las siguientes versiones de sistemas operativos soportados actualmente por Microsoft: - Microsoft Windows 2000 Service Pack 4 - Microsoft Windows XP Service Pack 2 - Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium) - Microsoft Windows XP Professional x64 Edition - Microsoft Windows Server 2003 - Microsoft Windows Server 2003 (Itanium) - Microsoft Windows Server 2003 Service Pack 1 - Microsoft Windows Server 2003 Service Pack 2 - Microsoft Windows Server 2003 con SP1 (Itanium) - Microsoft Windows Server 2003 con SP2 (Itanium) - Microsoft Windows Server 2003 x64 Edition - Microsoft Windows Vista Explotación de la vulnerabilidad El exploit puede actuar en cualquiera de estos escenarios: 1. Al visualizar una página con un navegador (no solo Internet Explorer) 2. Al leer un correo electrónico 3. Al abrir una carpeta local con el explorador de Windows (configuración por defecto) En los casos 1 y 2, puede ejecutarse un código malicioso, pero no en el caso 3, donde solo se produce una denegación de servicio (Windows deja de responder o entra en un bucle mostrando un mensaje de error una y otra vez). En el primer escenario, el exploit puede actuar tanto al visualizar una página web utilizando Microsoft Internet Explorer como Mozilla Firefox (otros navegadores pueden estar también afectados). Según Microsoft, Internet Explorer 7.0 en modo protegido, no es afectado por el exploit, o al menos no puede ejecutarse el código embebido. En el segundo escenario, aunque Microsoft aconsejó al comienzo como medida para mitigar los efectos del problema, leer el correo electrónico como texto sin formato, una lista publicada por el Internet Storm Center (ISC), del SANS Institute, muestra como la vulnerabilidad puede ser explotada en varios clientes de correo, a pesar de que el usuario tome esa precaución. En concreto, el exploit puede ejecutarse al leer un correo en los siguientes programas y condiciones: 1. Al abrir un correo con la configuración por defecto (formato, etc.): Son vulnerables: - Windows XP Outlook Express - Windows Vista Mail - Microsoft Outlook 2003 2. Al leer un correo en el panel de vista previa: Son vulnerables: - Windows XP Outlook Express - Windows Vista Mail - Microsoft Outlook 2003 3. Al abrir un correo en formato solo texto: Es vulnerable: - Windows XP Outlook Express 4. Al responder o reenviar un correo, aún con la opción leer en formato solo texto activa: Son vulnerables: - Windows XP Outlook Express - Windows Vista Mail Consideraciones Los usuarios de Outlook 2007 están protegidos, sin importar si se leen los mensajes como texto sin formato o no. Leer el correo electrónico como texto sin formato si se utiliza Outlook 2002 o posterior, o Windows Mail, puede ayudar a protegerlo. Sin embargo, en Windows Mail (Windows Vista), aún al leer texto sin formato, el usuario no está protegido si responde o reenvía el mensaje recibido del atacante. Leer el correo como texto sin formato en Outlook Express, no mitiga los intentos para explotar esta vulnerabilidad. Otros clientes de correo como Thunderbird, también son vulnerables, aún cuando se utilice la lectura en texto plano, si se hace clic sobre los enlaces. Según la información actualmente disponible, la vulnerabilidad no puede ser mitigada bloqueando la descarga de archivos .ANI, ya que incluso existen archivos renombrados (como .JPEG, etc.), que pueden igualmente ejecutar el exploit. Además, es importante destacar que Windows Explorer (el Explorador de Windows), puede procesar archivos .ANI con diferentes extensiones, por ejemplo .CUR, .ICO, etc. No existe parche oficial al momento actual, a pesar de que el fallo fue reportado privadamente a Microsoft en diciembre de 2006, por la compañía de seguridad Determina (ver "Referencias"). Sin embargo, no se conocía ningún exploit activo hasta ahora (marzo de 2007). El exploit es considerado un Zero Day (Día cero), basándonos en la definición más aceptada por los profesionales de la seguridad. Así, definimos como "Zero Day", a cualquier exploit que no haya sido mitigado por un parche del vendedor. Parche oficial [03/04/07] - MS07-017 Vulnerabilidad en motor de gráficos (925902) http://www.vsantivirus.com/vulms07-017.htm Parches no oficiales Se recomienda aplicar el parche oficial mencionado arriba (MS07-017) Medidas de precaución A pesar de lo que mencionamos antes, Microsoft aconseja activar la lectura del correo electrónico como "Texto sin formato". Para ello, tanto en Outlook Express como en Windows Mail (Windows Vista), siga las siguientes instrucciones: 1. Seleccione el menú Herramientas, Opciones, lengüeta "Leer" 2. Marque la casilla "Leer todos los mensajes como texto sin formato". NOTA: Esta única protección no es efectiva en Outlook Express. Tampoco lo es en Windows Mail si se responde o reenvía un mensaje afectado por el exploit. También desactive el panel de vista previa de la siguiente manera: 1. Seleccione el menú Ver, Diseño 2. Desmarque la casilla "Mostrar panel de vista previa" En Thunderbird, abra el menú "Herramientas", "Preferencias", y en "Avanzadas", "Privacidad", "General", podrá hacer los cambios necesarios. Más información: http://kb.mozillazine.org/Plain_text_e-mail_%28Thunderbird%29 El exploit puede activarse también cuando se visualiza una carpeta conteniendo un HTML malicioso. Para evitar el contenido HTML en el explorador de Windows, siga estas instrucciones: 1. Abra Mi PC 2. Seleccione Herramientas, Opciones de carpetas 3. En la lengüeta "General", en Tareas, seleccione "Utilizar las carpetas clásicas de Windows". Se recomienda precaución al recibir correos electrónicos no solicitados, así como al visitar páginas sugeridas en enlaces de mensajes que no hemos pedido. El uso de un antivirus actualizado, es por supuesto imprescindible. Relacionados: TrojanDownloader.Ani.Gen. Explota vulnerabilidad .ANI http://www.vsantivirus.com/trojandownloader-ani-gen.htm TrojanDownloader.Ani.G. Utiliza archivos .ANI http://www.vsantivirus.com/trojandownloader-ani-g.htm Alerta Amarilla por ataques a vulnerabilidad .ANI http://www.vsantivirus.com/01-04-07.htm Referencias: MS07-017 Vulnerabilidad en motor de gráficos (925902) http://www.vsantivirus.com/vulms07-017.htm Microsoft Security Advisory (935423) Vulnerability in Windows Animated Cursor Handling http://www.microsoft.com/technet/security/advisory/935423.mspx Microsoft Security Advisory 935423 Posted http://blogs.technet.com/msrc/archive/2007/03/29/microsoft-security-advisory-935423-posted.aspx Update on Microsoft Security Advisory 935423 http://blogs.technet.com/msrc/archive/2007/03/30/update-on-microsoft-security-advisory-935423.aspx CVE-2007-0038 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0038 [Full-disclosure] 0-day ANI vulnerability in Microsoft Windows (CVE-2007-0038) http://archives.neohapsis.com/archives/fulldisclosure/2007-03/0470.html Vulnerability In Windows Animated Cursor Handling http://www.determina.com/security_center/security_advisories/securityadvisory_0day_032907.asp Microsoft Windows ANI header stack buffer overflow http://www.us-cert.gov/cas/techalerts/TA07-089A.html Microsoft Windows animated cursor ANI header stack buffer overflow http://www.kb.cert.org/vuls/id/191609 Windows Animated Cursor Handling vulnerability - CVE-2007-0038 http://isc.sans.org/diary.html?storyid=2534 Ani cursor exploits against Microsoft E-mail clients - CVE-2007-0038 http://isc.sans.org/diary.html?storyid=2539 Microsoft Windows Animated Cursor Handling Vulnerability http://secunia.com/advisories/24659 Vulnerability Summary CVE-2007-1765 http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-1765 Unpatched Drive-By Exploit Found On The Web http://www.avertlabs.com/research/blog/?p=230 Detecting and filtering out windows animated cursor exploitation attempts http://isc.sans.org/diary.html?storyid=2540 ANI exploit code drives INFOCon to Yellow http://isc.sans.org/diary.html?storyid=2542 Chinese Internet Security Response Team Reports ANI Worm http://isc.sans.org/diary.html?storyid=2550 ANI: It Gets Better http://isc.sans.org/diary.html?storyid=2551 Microsoft Windows Cursor And Icon ANI Format Handling Remote Buffer Overflow Vulnerability http://www.securityfocus.com/bid/23194 [Última modificación: 03/04/07 22:03 -0200] (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com