Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

NOD32 crea parche dinámico para vulnerabilidad WMF
 
VSantivirus No. 2006 Año 10, jueves 5 de enero de 2006

NOD32 crea parche dinámico para vulnerabilidad WMF
http://www.vsantivirus.com/wmfpatch.htm

Por Angela Ruiz
angela@videosoft.net.uy


NOTA VSA (06/01/05):

Aunque Microsoft publicó finalmente su parche oficial, imprevistamente antes de la fecha anunciada, el contenido de este artículo es mantenido por dos razones fundamentales. Primero, como material informativo, y segundo, que el parche creado por ESET es el único que cubre el elemento vulnerable original (la interfase gráfica), en sistemas para los que el parche de Microsoft no funciona (Windows 98 y Me). Y aún cuando el exploit actual no es operativo en estas plataformas, el problema sigue estando allí.

A los usuarios de Windows 2000, XP y 2003 (todas las versiones), recomendamos desinstalar los parches y protecciones alternativos de terceros que hayan sido instalados previamente, y proceder a instalar el parche oficial. Esta actualización también se realiza de forma automática vía Windows Update.

Más información sobre el parche oficial:

Microsoft publica anticipadamente su parche para WMF
http://www.vsantivirus.com/ev-vul-wmf.htm

ESET, fabricante de NOD32, ha publicado un parche provisorio para la vulnerabilidad WMF. Mientras tanto, Microsoft continúa recibiendo fuertes críticas por su demora en publicar el parche oficial.

La razón de que cada vez sean más quienes recomienden este tipo de solución, está en la peligrosidad del asunto, y en la gran cantidad de usuarios susceptibles al mismo.

"Muchos usuarios no se han dado cuenta del problema, y aún se quejan de la falta de funcionalidad que algunas de las medidas sugeridas en un primer momento, crean en el uso diario de su equipo", dice Jose Luis Lopez de VSAntivirus y director técnico de NOD32 Uruguay. "El tema es muy grave, y solo por milagro no han ocurrido grandes crisis en el tiempo en que esta vulnerabilidad ha sido descubierta y el día de hoy, como bien comprendimos quienes en la noche del 31 de diciembre nos enfrentamos a la aparición de un exploit modificado que en un primer momento, ningún antivirus detectó".

Sin embargo, los responsables del Centro de Respuesta de la Seguridad de Microsoft, en medio de la lluvia de críticas, han anunciado su parche para el próximo martes (10/ene/06). Tom Liston del Internet Storm Center dice: "En su visión atractiva del futuro, para Microsoft nada va a ocurrir en los próximos siete días".

Pero está ocurriendo. El mayor vector de ataque al momento actual, son las imágenes descargadas de sitios web, una lista enorme que crece cada día. Además, una herramienta capaz de crear este tipo de exploits ha sido hecha pública, y en teoría cualquier persona podría crear su malware "a medida".

"Si bien es cierto que esta herramienta no representa al momento actual una gran amenaza, porque posee algunos fallos y en realidad no funciona como debería, también es cierto que cada vez recibimos más información de sitios que utilizan el exploit para convertir las máquinas de los usuarios en zombis, por medio de troyanos que son descargados en su PC", dice Lopez. "Una de las grandes ventajas que por ahora tenemos, es que los malos no han creado un troyano totalmente nuevo para sacar provecho de este fallo, y utilizan los ya existentes, como mucho recomprimiéndolos para tratar de eludir la detección de los antivirus".

"Pero nadie, ni Microsoft, puede afirmar tan tranquilamente que nada ocurrirá hasta que el parche oficial sea publicado. Cada día que pasa, el medidor de presión aumenta, y nos podemos ver enfrentados a algo mucho más grave de lo que algunos piensan", afirma Lopez.

Por su parte, Ignacio M. Sbampato, vicepresidente de ESET para Latinoamérica comenta: "Es que, dada la gran cantidad de usuarios que navegan por Internet utilizando el sistema operativo Windows, el alcance que pueden tener los troyanos como los antes mencionados es altísimo. Esto pone en riesgo la seguridad de miles de miles de equipos y redes informáticas, y amerita una rápida respuesta y solución."

Si bien es cierto que el exploit actual, afecta directamente solo a usuarios de Windows XP y Windows Server 2003, los elementos vulnerables existen en todos los Windows, incluso los publicados antes de 1990, como afirma F-Secure. Con toda la información disponible actualmente en Internet para el que quiera buscarla, nadie puede asegurar que alguien no encuentre la forma de explotar el problema en otros Windows.

El parche original creado por Ilfak Guilfanov, un reconocido experto informático, y promocionado enfáticamente por el Internet Storm Center del Sans Institute (ver "Parche NO oficial para la vulnerabilidad WMF", http://www.vsantivirus.com/vul-wmf-parche.htm), funciona solo en Windows 2000, Windows XP de 32 y 64-bit, y en Windows Server 2003.

Estos Windows poseen la biblioteca del visor de imágenes y fax que el exploit utiliza como lanzador de su código maligno, pero el problema está en las características de la interfase gráfica de Windows (Windows Graphic Display Interface o GDI), un elemento presente en todos los Windows, desde las versiones de 16-bit.

"Lo que hace diferente al parche provisorio publicado por ESET, es que habilita la protección para este elemento, en todos los Windows actualmente instalados en millones de computadoras del mundo entero, desde el 98 al Server 2003 (aunque no funciona con las versiones de 64-bit de Windows XP)", informa Lopez. "Además, es un parche dinámico, es decir, no requiere el reinicio del equipo al ser instalado, a diferencia del parche de Guilfanov."

"Como el parche anterior, tampoco modifica o toca el código original de Windows, pero a diferencia de aquél, no utiliza solamente la clave del registro 'AppInit_DLLs' para ser cargada en el espacio de memoria de las direcciones de los procesos, de tal modo que puede funcionar no solo en XP", dice Paolo Monti, responsable de NOD32 Italia, y creador de este parche. "En lugar de ello, utiliza hooks (ganchos) dinámicos de las APIs de Windows. El parche se instala en modo silencioso, usted solo recibe un mensaje de advertencia si falla la instalación o inyección del proceso", dice Monti.


* Las principales ventajas y diferencias son:

- Funciona en Windows 98, Me, XP, 2000 y 2003

- Es completamente dinámico. No es necesario reiniciar el equipo para ejecutarlo o desinstalarlo.

- Se puede descargar de memoria con el parámetro /u

- También se puede desinstalar desde Agregar o quitar programas.

- Puede dejar de utilizarse la solución de desregistrar el componente SHIMGVW.DLL del visor de imágenes de Windows, que tan molesto es para quienes hacen uso extensivo de la visualización de imágenes en su PC.


* Descarga del parche

El parche de ESET puede ser descargado de la siguiente dirección:

http://www.nod32.it/getfile.php?tool=wmfpatch

NOTA: Si ya tiene instalado el parche de Guilfanov, debe desinstalarlo antes, desde "Agregar o quitar programas" del panel de control. También antes, debe registrar el componente SHIMGVW.DLL. Esto puede hacerse muy fácilmente con la siguiente utilidad:

http://www.videosoft.net.uy/wmf-prot.vbs

Descargue WMF-PROT.VBS en su escritorio, haga clic en él, y responda NO en la ventana con el siguiente mensaje:

"Pulse Si para desregistrar No para registrar"

Luego de ello, ejecute el parche de ESET.

Para desinstalar este parche en el momento que lo desee, o para instalar la solución de Microsoft cuando esté disponible, simplemente seleccione Inicio, Panel de Control, Agregar o quitar programas, y desinstale el programa "GDI32 - WMF Match" que aparece en el listado de programas instalados.


Temas relacionados:

MS06-001 Vulnerabilidad en motor de gráficos (912919)
http://www.vsantivirus.com/vulms06-001.htm

Exploit.WMF. Detección para exploit archivos WMF
http://www.vsantivirus.com/exploit-wmf.htm

Todo lo que hay que saber sobre el exploit WMF
http://www.vsantivirus.com/faq-wmf-exploit.htm

Alerta: Troyano que se ejecuta mediante archivos WMF
http://www.vsantivirus.com/28-12-05.htm

Vulnerabilidad en visor de imágenes y fax de Windows
http://www.vsantivirus.com/vul-windows-shimgvw-281205.htm

TrojanDownloader.Wmfex. Detección para exploit WMF
http://www.vsantivirus.com/trojandownloader-wmfex.htm

La vulnerabilidad WMF y la solución basada en DEP
http://www.vsantivirus.com/30-12-05.htm

Parche NO oficial para la vulnerabilidad WMF
http://www.vsantivirus.com/vul-wmf-parche.htm

El problema WMF y la ética de una computación confiable
http://www.vsantivirus.com/01-01-06.htm

Alerta ante nuevo exploit para la vulnerabilidad WMF
http://www.vsantivirus.com/31-12-05.htm

WMFMaker.A. Crea archivos con vulnerabilidad WMF
http://www.vsantivirus.com/wmfmaker-a.htm



[Última modificación: 13/01/06 06:29 -0300]




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2006 Video Soft BBS