Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

La vulnerabilidad WMF y la solución basada en DEP
 
VSantivirus No. 2000 Año 9, viernes 30 de diciembre de 2005

La vulnerabilidad WMF y la solución basada en DEP
http://www.vsantivirus.com/30-12-05.htm

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy


Según publicamos ayer en sendos artículos, Microsoft recomienda dos procedimientos para prevenir la ejecución de código malicioso que se aproveche de esta grave vulnerabilidad (la ejecución de código a partir de ver, descargar o examinar archivos con extensión WMF). Puede encontrar más información sobre esta vulnerabilidad, el exploit existente (57 variantes según reporta F-Secure hoy), y el troyano o troyanos que se valen del exploit para propagarse y ejecutarse, al final de este artículo.

Una de las soluciones sugeridas por Microsoft, hasta que no se publique un parche, es desregistrar el componente vulnerable, que permite la previsualización de imágenes WMF (y otras), como se explica aquí: http://www.vsantivirus.com/vul-windows-shimgvw-281205.htm

Esto desactiva el visor de imágenes y fax de Windows, y el problema es que tampoco pueden verse otras imágenes cuando llegan como adjuntos en un correo electrónico, o su imagen previa o miniaturas al abrir una carpeta.

La segunda solución, está relacionada con lo que Microsoft llama DEP (Data Execution Prevention), o "Prevención de ejecución de datos". La misma, agregada en Windows XP SP2 (también presente en Windows XP Tablet PC Edition 2005 y Service Pack 1 de Windows Server 2003), se aplica a nivel de hardware en aquellos microprocesadores que contienen dicha función, o en caso contrario a nivel de software.

Cuando se utiliza basándose en el hardware (solo los equipos más modernos lo tienen implementado), esta tecnología utiliza el procesador para marcar todas las ubicaciones de la memoria en una aplicación como no ejecutables, a menos que la ubicación contenga explícitamente el código ejecutable.

De esta forma, cuando un malware intenta introducir código malicioso en alguna parte de la memoria marcada sólo para datos, la aplicación o el componente de Windows no la ejecutarán.

A nivel de software, el DEP también protege la memoria, al impedir que se copien demasiados datos en determinadas áreas, evitando desbordamientos de búfer (la sobre escritura de áreas de memoria con contenido no esperado).

DEP se instala por defecto con el Service Pack 2. Pero no se utiliza todo su potencial si no se posee un equipo que lo soporte a nivel de hardware.

Y aquí es donde se presenta el problema con la segunda solución sugerida por Microsoft.

Si usted aplica dicha solución tal como lo explica Microsoft en el documento "How to Configure Memory Protection in Windows XP SP2", http://www.microsoft.com/technet/security/prodtech/windowsxp/depcnfxp.mspx el exploit no se ejecutará, y usted estará protegido, SIEMPRE QUE SU HARDWARE ESTÉ PREPARADO PARA SOPORTAR DEP.

Si DEP solo se activa a nivel de software, el código malicioso en los archivos WMF, se ejecutará como si no existiera ninguna protección.

Para saber si su computadora soporta DEP vía hardware, en Windowx XP SP2 haga lo siguiente:

1. En Mi PC, pulse botón derecho y seleccione Propiedades (o pinche en "Sistema" del Panel de control).

2. Seleccione la lengüeta "Opciones avanzadas", y en Rendimiento, pulse en el botón "Configuración".

3. Seleccione la lengüeta "Prev. de ejecución de datos"

Si su equipo NO ES COMPATIBLE, al final de dicha ventana saldrá el siguiente mensaje:

El procesador de su equipo no es compatible con DEP basado en hardware. Sin embargo, Windows puede usar software de DEP para ayudar a prevenir cierto tipo de ataques.

Si su equipo fuera compatible, directamente no aparecería dicho texto.

En el caso de que su equipo no fuera compatible, la única solución segura, será la de desregistrar el visor de imágenes y fax de Windows, como se explica aquí:

Vulnerabilidad en visor de imágenes y fax de Windows
http://www.vsantivirus.com/vul-windows-shimgvw-281205.htm

[ACTUALIZACION 30/12/05 11:33 -0200] En este mismo artículo recomendábamos el uso de programas de terceros (ACDSEE, IrfanView, etc.), como opción para previsualizar imágenes, ya que no hacen uso de la DLL vulnerable. Sin embargo, ESTO NO ES ASI. Hemos realizado pruebas con IrfanView, y el exploit parece ejecutarse igual. Por el momento, lo único que recomendamos es desregistrar el componente SHIMGVW.DLL, utilizar un antivirus actualizado, y no usar programas para previsualizar imágenes.


Más información:

Alerta: Troyano que se ejecuta mediante archivos WMF
http://www.vsantivirus.com/28-12-05.htm

Vulnerabilidad en visor de imágenes y fax de Windows
http://www.vsantivirus.com/vul-windows-shimgvw-281205.htm

TrojanDownloader.Wmfex. Detección para exploit WMF
http://www.vsantivirus.com/trojandownloader-wmfex.htm


[Última modificación: 30/12/05 11:58 -0200]



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2005 Video Soft BBS