Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Vulnerabilidad en visor de imágenes y fax de Windows
 
VSantivirus No. 1999 Año 9, jueves 29 de diciembre de 2005

 Vulnerabilidad en visor de imágenes y fax de Windows
http://www.vsantivirus.com/vul-windows-shimgvw-281205.htm

Por Angela Ruiz
angela@videosoft.net.uy

Se ha hecho pública una vulnerabilidad en el motor de interpretación de las imágenes WMF (Windows Metafile) de Microsoft Windows, que puede permitir la ejecución remota de código en el sistema. Cualquier programa que procese imágenes WMF en el equipo afectado y que utilice el componente afectado de Windows, puede ser vulnerable a un ataque.

El problema se presenta cuando un usuario visualiza un archivo WMF malicioso. Esto puede ocurrir tanto al visualizarlo en una página web, o si se abre una carpeta conteniendo dicho archivo, utilizando el Explorador de Windows.

También se puede ejecutar código, con cualquier programa que utilice la API relacionada (SHIMGVW.DLL, el visor de imágenes y fax de Windows). Por ejemplo Google Desktop puede activar la vulnerabilidad al indexar imágenes .WMF vulnerables, aún cuando el usuario no abra ni visualice el archivo WMF malicioso, siempre que el mismo esté en su máquina.

La vulnerabilidad puede ser explotada tanto localmente como de forma remota, con el agravante de poder ejecutarse con los privilegios del sistema, aún cuando el usuario actual no los tenga (esto ocurre porque el DLL afectado tiene dichos privilegios).

Se ha reportado un exploit (y sus variantes), el mismo día de conocerse la vulnerabilidad (zero-day exploit). El mismo es utilizado actualmente para propagar y ejecutar varios troyanos, tal como se explica en el siguiente artículo:

Alerta: Troyano que se ejecuta mediante archivos WMF
http://www.vsantivirus.com/28-12-05.htm

NOTA: Aunque en un principio se mencionó la vulnerabilidad en archivos WMF corregida por Microsoft en su boletín MS05-053 de noviembre, en realidad se trata de una nueva vulnerabilidad.


Software vulnerable:

- Microsoft Windows 2000 Service Pack 4
- Microsoft Windows 98
- Microsoft Windows 98 Second Edition (SE)
- Microsoft Windows Millennium Edition (ME)
- Microsoft Windows Server 2003 
- Microsoft Windows Server 2003 (Itanium)
- Microsoft Windows Server 2003 Service Pack 1
- Microsoft Windows Server 2003 SP1 (Itanium)
- Microsoft Windows Server 2003 x64 Edition
- Microsoft Windows XP Home 
- Microsoft Windows XP Home SP1
- Microsoft Windows XP Home SP2
- Microsoft Windows XP Media Center Edition 
- Microsoft Windows XP Media Center Edition SP1
- Microsoft Windows XP Media Center Edition SP2
- Microsoft Windows XP Professional 
- Microsoft Windows XP Professional SP1
- Microsoft Windows XP Professional SP2
- Microsoft Windows XP Professional x64 Edition
- Microsoft Windows XP Service Pack 1
- Microsoft Windows XP Service Pack 2
- Microsoft Windows XP Tablet PC Edition 
- Microsoft Windows XP Tablet PC Edition SP1
- Microsoft Windows XP Tablet PC Edition SP2


Soluciones:

El jueves 5 de enero, Microsoft publica un boletín urgente (fuera de la ronda acostumbrada de boletines), que corrige esta peligrosa vulnerabilidad:

 MS06-001 Vulnerabilidad en motor de gráficos (912919)
http://www.vsantivirus.com/vulms06-001.htm


Soluciones alternativas:

Desregistrar el componente SHIMGVW.DLL

Una medida alternativa de protección (no comprobada en todos los escenarios posibles), es desregistrar el componente relacionado con el visor de imágenes y fax de Windows (SHIMGVW.DLL). Esta acción también es sugerida actualmente por Microsoft.

Para ello siga estos pasos:

1. Cierre el Internet Explorer y cualquier otra ventana abierta.

2. Desde Inicio, Ejecutar, escriba lo siguiente (más Enter):

regsvr32   -u   %windir%\system32\shimgvw.dll

4. Si el comando es ejecutado con éxito, se abrirá una ventana con el texto "DllUnregisterServer en C:\WINDOWS\system32\shimgvw.dll se realizó con éxito.". Ciérrela pulsando en Aceptar. 

NOTA: Esto afecta la apertura de archivos asociados al visor de imágenes y fax de Windows. Si por alguna razón desea volver a activar esta facilidad, utilice los mismos pasos indicados antes, pero con la siguiente línea de comandos en el punto 2:

regsvr32   %windir%\system32\shimgvw.dll

NOTA: Aunque Microsoft sugiere otra solución alternativa, la habilitación de la protección de memoria (DEP, Data Execution Prevention), esto solo funciona en Windows XP SP2 y de todos modos no se ha podido confirmar si en todos los escenarios posibles utilizados por el exploit en circulación.

De cualquier manera, las instrucciones para dicha opción se encuentran en el siguiente enlace (en inglés):

How to Configure Memory Protection in Windows XP SP2
http://www.microsoft.com/technet/security/prodtech/windowsxp/depcnfxp.mspx
Published: December 9, 2004

NOTA 2: En Windows Me, se deben utilizar las siguientes líneas de comando:

regsvr32   -u   %windir%\system\shimgvw.dll

regsvr32   %windir%\system\shimgvw.dll


Referencias:

CVE-2005-4560 (Common Vulnerabilities and Exposures project)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-4560

Microsoft Security Advisory (912840)
Vulnerability in Graphics Rendering Engine Could Allow Remote Code Execution.
 http://www.microsoft.com/technet/security/advisory/912840.mspx

Bugtraq ID: 16074
Microsoft Windows Graphics Rendering Engine WMF Format Unspecified Code Execution Vulnerability
http://www.securityfocus.com/bid/16074/info

Advisory ID : FrSIRT/ADV-2005-3086
Microsoft Windows WMF Handling Remote Code Execution Vulnerability
http://www.frsirt.com/english/advisories/2005/3086


Relacionados:

TrojanDownloader.Wmfex. Detección para exploit WMF
http://www.vsantivirus.com/trojandownloader-wmfex.htm

Alerta: Troyano que se ejecuta mediante archivos WMF
http://www.vsantivirus.com/28-12-05.htm

Todo lo que hay que saber sobre el exploit WMF
http://www.vsantivirus.com/faq-wmf-exploit.htm


Más información:

¿Nueva vulnerabilidad en motor de gráficos (WMF)?
http://www.vsantivirus.com/vul-wmf-ext.htm

MS06-001 Vulnerabilidad en motor de gráficos (912919)
http://www.vsantivirus.com/vulms06-001.htm

Exploit.WMF. Detección para exploit archivos WMF
http://www.vsantivirus.com/exploit-wmf.htm

Microsoft publica anticipadamente su parche para WMF
http://www.vsantivirus.com/ev-vul-wmf.htm

NOD32 crea parche dinámico para vulnerabilidad WMF
http://www.vsantivirus.com/wmfpatch.htm

Alerta: Troyano que se ejecuta mediante archivos WMF
http://www.vsantivirus.com/28-12-05.htm

Vulnerabilidad en visor de imágenes y fax de Windows
http://www.vsantivirus.com/vul-windows-shimgvw-281205.htm

TrojanDownloader.Wmfex. Detección para exploit WMF
http://www.vsantivirus.com/trojandownloader-wmfex.htm

La vulnerabilidad WMF y la solución basada en DEP
http://www.vsantivirus.com/30-12-05.htm

Parche NO oficial para la vulnerabilidad WMF
http://www.vsantivirus.com/vul-wmf-parche.htm

El problema WMF y la ética de una computación confiable
http://www.vsantivirus.com/01-01-06.htm

Alerta ante nuevo exploit para la vulnerabilidad WMF
http://www.vsantivirus.com/31-12-05.htm




 [Última modificación: 14/01/06 13:00 -0200]




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2005 Video Soft BBS