|
VSantivirus No. 1999 Año 9, jueves 29 de diciembre de 2005
Vulnerabilidad en visor de imágenes y fax de Windows
http://www.vsantivirus.com/vul-windows-shimgvw-281205.htm
Por Angela Ruiz
angela@videosoft.net.uy
Se ha hecho pública una vulnerabilidad en el motor de interpretación de las imágenes WMF (Windows
Metafile) de Microsoft Windows, que puede permitir la ejecución remota de código en el sistema. Cualquier programa que procese imágenes WMF en el equipo afectado y que utilice el componente afectado de Windows, puede ser vulnerable a un ataque.
El problema se presenta cuando un usuario visualiza un archivo WMF malicioso. Esto puede ocurrir tanto al visualizarlo en una página
web, o si se abre una carpeta conteniendo dicho archivo, utilizando el Explorador de Windows.
También se puede ejecutar código, con cualquier programa que utilice la API relacionada
(SHIMGVW.DLL, el visor de imágenes y fax de Windows). Por ejemplo Google Desktop puede activar la vulnerabilidad al indexar imágenes
.WMF vulnerables, aún cuando el usuario no abra ni visualice el archivo WMF malicioso, siempre que el mismo esté en su máquina.
La vulnerabilidad puede ser explotada tanto localmente como de forma remota, con el agravante de poder ejecutarse con los privilegios del sistema, aún cuando el usuario actual no los tenga (esto ocurre porque el DLL afectado tiene dichos privilegios).
Se ha reportado un exploit (y sus variantes), el mismo día de conocerse la vulnerabilidad
(zero-day exploit). El mismo es utilizado actualmente para propagar y ejecutar varios troyanos, tal como se explica en el siguiente artículo:
Alerta: Troyano que se ejecuta mediante archivos WMF
http://www.vsantivirus.com/28-12-05.htm
NOTA: Aunque en un principio se mencionó la vulnerabilidad en archivos WMF corregida por Microsoft en su boletín
MS05-053 de noviembre, en realidad se trata de una nueva vulnerabilidad.
Software vulnerable:
- Microsoft Windows 2000 Service Pack 4
- Microsoft Windows 98
- Microsoft Windows 98 Second Edition (SE)
- Microsoft Windows Millennium Edition (ME)
- Microsoft Windows Server 2003
- Microsoft Windows Server 2003 (Itanium)
- Microsoft Windows Server 2003 Service Pack 1
- Microsoft Windows Server 2003 SP1 (Itanium)
- Microsoft Windows Server 2003 x64 Edition
- Microsoft Windows XP Home
- Microsoft Windows XP Home SP1
- Microsoft Windows XP Home SP2
- Microsoft Windows XP Media Center Edition
- Microsoft Windows XP Media Center Edition SP1
- Microsoft Windows XP Media Center Edition SP2
- Microsoft Windows XP Professional
- Microsoft Windows XP Professional SP1
- Microsoft Windows XP Professional SP2
- Microsoft Windows XP Professional x64 Edition
- Microsoft Windows XP Service Pack 1
- Microsoft Windows XP Service Pack 2
- Microsoft Windows XP Tablet PC Edition
- Microsoft Windows XP Tablet PC Edition SP1
- Microsoft Windows XP Tablet PC Edition SP2
Soluciones:
El jueves 5 de enero, Microsoft publica un boletín urgente (fuera de la ronda acostumbrada de boletines), que corrige esta peligrosa
vulnerabilidad:
MS06-001 Vulnerabilidad en motor de gráficos (912919)
http://www.vsantivirus.com/vulms06-001.htm
Soluciones alternativas:
Desregistrar el componente SHIMGVW.DLL
Una medida alternativa de protección (no comprobada en todos los escenarios posibles), es desregistrar el componente relacionado con el visor de imágenes y fax de Windows (SHIMGVW.DLL). Esta acción también es sugerida actualmente por Microsoft.
Para ello siga estos pasos:
1. Cierre el Internet Explorer y cualquier otra ventana abierta.
2. Desde Inicio, Ejecutar, escriba lo siguiente (más Enter):
regsvr32 -u %windir%\system32\shimgvw.dll
4. Si el comando es ejecutado con éxito, se abrirá una ventana con el texto "DllUnregisterServer en C:\WINDOWS\system32\shimgvw.dll se realizó con éxito.". Ciérrela pulsando en Aceptar.
NOTA: Esto afecta la apertura de archivos asociados al visor de imágenes y fax de Windows. Si por alguna razón desea volver a activar esta facilidad, utilice los mismos pasos indicados antes, pero con la siguiente línea de comandos en el punto 2:
regsvr32 %windir%\system32\shimgvw.dll
NOTA: Aunque Microsoft sugiere otra solución alternativa, la habilitación de la protección de memoria (DEP, Data Execution Prevention), esto solo funciona en Windows XP SP2 y de todos modos no se ha podido confirmar si en todos los escenarios posibles utilizados por el exploit en circulación.
De cualquier manera, las instrucciones para dicha opción se encuentran en el siguiente enlace (en inglés):
How to Configure Memory Protection in Windows XP SP2
http://www.microsoft.com/technet/security/prodtech/windowsxp/depcnfxp.mspx
Published: December 9, 2004
NOTA 2: En Windows Me, se deben utilizar
las siguientes líneas de comando:
regsvr32 -u %windir%\system\shimgvw.dll
regsvr32 %windir%\system\shimgvw.dll
Referencias:
CVE-2005-4560 (Common Vulnerabilities and Exposures project)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-4560
Microsoft Security Advisory (912840)
Vulnerability in Graphics Rendering Engine
Could Allow Remote Code Execution.
http://www.microsoft.com/technet/security/advisory/912840.mspx
Bugtraq ID: 16074
Microsoft Windows Graphics Rendering Engine WMF Format Unspecified Code Execution Vulnerability
http://www.securityfocus.com/bid/16074/info
Advisory ID : FrSIRT/ADV-2005-3086
Microsoft Windows WMF Handling
Remote Code Execution Vulnerability
http://www.frsirt.com/english/advisories/2005/3086
Relacionados:
TrojanDownloader.Wmfex. Detección para exploit WMF
http://www.vsantivirus.com/trojandownloader-wmfex.htm
Alerta: Troyano que se ejecuta mediante archivos WMF
http://www.vsantivirus.com/28-12-05.htm
Todo lo que hay que saber sobre el exploit WMF
http://www.vsantivirus.com/faq-wmf-exploit.htm
Más información:
¿Nueva vulnerabilidad en motor de gráficos (WMF)?
http://www.vsantivirus.com/vul-wmf-ext.htm
MS06-001 Vulnerabilidad en motor de gráficos (912919)
http://www.vsantivirus.com/vulms06-001.htm
Exploit.WMF. Detección para exploit archivos WMF
http://www.vsantivirus.com/exploit-wmf.htm
Microsoft publica anticipadamente su parche para WMF
http://www.vsantivirus.com/ev-vul-wmf.htm
NOD32 crea parche dinámico para vulnerabilidad WMF
http://www.vsantivirus.com/wmfpatch.htm
Alerta: Troyano que se ejecuta mediante archivos WMF
http://www.vsantivirus.com/28-12-05.htm
Vulnerabilidad en visor de imágenes y fax de Windows
http://www.vsantivirus.com/vul-windows-shimgvw-281205.htm
TrojanDownloader.Wmfex. Detección para exploit WMF
http://www.vsantivirus.com/trojandownloader-wmfex.htm
La vulnerabilidad WMF y la solución basada en DEP
http://www.vsantivirus.com/30-12-05.htm
Parche NO oficial para la vulnerabilidad WMF
http://www.vsantivirus.com/vul-wmf-parche.htm
El problema WMF y la ética de una computación confiable
http://www.vsantivirus.com/01-01-06.htm
Alerta ante nuevo exploit para la vulnerabilidad WMF
http://www.vsantivirus.com/31-12-05.htm
[Última modificación:
14/01/06 13:00 -0200]
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|