|
|
Alerta ante nuevo exploit para la vulnerabilidad WMF
|
| |
VSantivirus No. 2002 Año 10, domingo 1 de enero de 2006
Alerta ante nuevo exploit para la vulnerabilidad WMF
http://www.vsantivirus.com/31-12-05.htm
Ya casi sobre el final de 2005, un nuevo exploit que se vale de la vulnerabilidad en los archivos WMF ha sido reportado "en la calle" por el Internet Storm Center (ISC) del Sans Institute.
El exploit genera archivos con tamaños al azar, y con otras extensiones diferentes a la de WMF (JPG y otras extensiones de archivos de imágenes podrían ser utilizadas).
Los archivos contienen una cierta cantidad de código basura antes de la llamada maliciosa que ejecuta el exploit. El tamaño ha sido cuidadosamente calculado a mano, para que sea más largo que el valor MTU utilizado en redes ethernet.
MTU o Unidad Máxima de Transferencia (Maximum Transfer Unit), es el tamaño en bytes de los paquetes (datagramas) más grandes que pueden pasar por una capa de un protocolo de comunicaciones. La información que se transmite por redes, siempre se divide en paquetes para poder transmitirse. La idea en este caso, sería evitar la detección a nivel de redes, antes que el archivo completo llegue a destino.
El código fuente contiene varias llamadas posibles a la interfase gráfica de Windows (Windows Graphic Display Interface o GDI), que pueden ejecutar el exploit. Recordemos que el exploit original se valía de una llamada a la función SETABORTPROC (ver "Todo lo que hay que saber sobre el exploit WMF",
http://www.vsantivirus.com/faq-wmf-exploit.htm)
Esta información será ampliada, pero por el momento sugerimos seguir al pie de la letra las advertencias y consejos dados para el exploit actual en el enlace anterior.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
 
|
|
