Nuevo exploit MWF, más malware, y parche no oficial


Mientras se suceden nuevos incidentes protagonizados por exploits y malware basados en la vulnerabilidad WMF que afecta a Windows, y a la falta de un parche oficial por parte de Microsoft, un reputado programador ha publicado una solución.





En los últimos días no han dejado de aparecer nuevos ataques en forma
de malware que aprovechan la vulnerabilidad en el procesamiento WMF.
Destaca la publicación de un nuevo exploit mucho más potente, capaz
de presentarse bajo otros formatos de imágenes y generar código
polimórfico que dificulta su detección genérica por parte de los
antivirus, IDS, y resto de soluciones basadas en firmas.

Uno de los últimos especímenes que hacen uso de este exploit fue
detectado en VirusTotal a las 1:30 horas del día 1 de enero de este
recién estrenado 2006. Precisamente se trata de un troyano que fue
enviado de forma masiva por correo electrónico y que simulaba una
felicitación para el nuevo año. El archivo adjunto, una aparente e
inofensiva imagen en formato JPG, "HappyNewYear.jpg", compromete el
sistema con tan sólo visualizarlo.

En el momento de recibir la muestra en VirusTotal tan sólo Symantec
lo reconocía como Bloodhound.Exploit.56. Al escribir estas líneas
ya lo detectan:

AntiVir [EXP/IMG.WMF.A]
Avira [EXP/IMG.WMF.A]
BitDefender [Exploit.Win32.WMF-PFV]
ClamAV [Exploit.WMF.B]
eTrust-Iris [Win32/Worfo!Trojan]
eTrust-Vet [Win32/Worfo]
Ewido [Not-A-Virus.Exploit.Win32.IMGWMF.a]Fortinet
F-Prot [security risk or a "backdoor" program]
Kaspersky [Exploit.Win32.IMG-WMF.a]
McAfee [Exploit-WMF]
Sophos [Troj/DownLdr-QB]
Symantec [Backdoor.Bifrose]
TheHacker [Exploit/WMF]
VBA32 [Exploit.Win32.IMG-WMF.a]

Sin embargo no se trata de un caso aislado, en los dos últimos días
hemos recibido en VirusTotal 10 variantes de malware con extensión
JPG que aprovechan la vulnerabilidad, y en las últimas horas hemos
recibido tres variantes con extensión GIF, y la previsión es que
vaya en aumento.

Sin duda estamos ante un caso crítico que requiere de Microsoft la
máxima celeridad en la publicación de la pertinente actualización,
sin necesidad de que tengamos que esperar al segundo martes de enero
según su política periódica de distribución de parches. Cada hora
que transcurre sin actualización de Microsoft aumenta el número
de incidentes, recordemos que estamos ante un parque de millones de
sistemas afectados por una vulnerabilidad crítica.

Mientras tanto ha surgido una iniciativa particular, a modo de parche
temporal no oficial, por parte de Ilfak Guilfanov, un reconocido
desarrollador, autor del popular desensamblador IDA. El parche de
Ilfak, además de corregir la vulnerabilidad, no afecta a la
funcionalidad del sistema, por lo que las imágenes seguirán
visualizándose sin problemas.

Desde Hispasec, a la espera de la actualización oficial de Microsoft,
nos unimos a la recomendación de F-Secure y SANS, entre otros, y
aconsejamos instalar el parche de Ilfak, disponible para
Windows 2000, XP 32-bit, XP 64-bit, y Windows Server 2003 en
http://www.hexblog.com/security/files/wmffix_hexblog13.exe

Adicionalmente Ilfak ha publicado una utilidad que permite conocer
si nuestro sistema es o no vulnerable, disponible en la dirección:
http://www.hexblog.com/security/files/wmf_checker_hexblog.exe

 

Más información:

Más malware basado en vulnerabilidad WMF y parche no oficial
http://blog.hispasec.com/laboratorio/87

30/12/2005 - Nuevas consideraciones sobre la vulnerabilidad de proceso de WMFs
http://www.hispasec.com/unaaldia/2624

28/12/2005 - Vulnerabilidad en tratamiento de archivos WMF de Windows
http://www.hispasec.com/unaaldia/2622


Fuente:
Bernardo Quintero
hispasec.com



Otras noticias de interés:

Microsoft publicará mañana tres actualizaciones de seguridad
En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan tres parches de seguridad, dos destinados a su sistema operativo Windows y uno a su suite ofimática Office....
El 98,09% de los PC Windows tienen al menos una aplicación insegura instalada
La firma de seguridad Secunia ha publicado el resultado de un estudio sobre 20.000 ordenadores conectados a Internet, que muestra que más del 98% de ellos tienen al menos una aplicación insegura instalada. ...
Escalada de privilegios en Windows por culpa de driver anticopia defectuoso
Una nueva vulnerabilidad afectando a Windows XP SP2 y Windows Server 2003 SP1 carece aún de parche, pese a estar siendo activamente explotada....
Practicas el Siguiente – Siguiente - Aceptar?
El 81% de los usuarios de Internet, que contestan, se manifiestan preocupados por la seguridad de sus datos personales en Internet… y con razón. Si por un día protagonizáramos un capítulo de la serie policíaca Without a trace (Sin Rastro), e i...
Inteco alerta de troyano que envía órdenes a otros pc
El Instituto Nacional de Tecnologías de la Comunicación (Inteco) ha catalogado - Mdmbot. A -, un virus que tiene funcionalidades de puerta trasera, de forma que, cuando infecta un equipo, un atacante puede conectarse con ese computador para enviarl...
Los expertos culpan a los usuarios de propagar los virus por Internet
Los usuarios de Internet son los responsables de la propagación de los virus cibernéticos, al abrir documentos que reciben aún sin conocer al remitente y más aun si llevan nombres o apodos de famosos, según informó EFE. ...
Un test de inteligencia en Facebook es una trampa SMS
Un test de inteligencia anunciado en Facebook es una trampa para dar de alta a los usuarios en un servicio de contenidos para móviles...
Rápida reacción Antivirus
Anton Zajac, CEO de la empresa de seguridad Eset, que tiene como producto estrella el antivirus NOD32, explica porque muchas empresas antivirus están fallando en detectar los últimos virus de correo electrónico....
Actualización de Java
Java es una tecnología utilizada por diversas aplicaciones de nuestra PC, como todo programa es importante mantenerlo actualizado para estar más seguros y obtener una mejor performance....
PC, blanco de cibersecuestros
Cualquiera que tenga una computadora podría ser cómplice, sin saberlo, de un ataque cibernético porque cada vez más los piratas informáticos se meten en otros aparatos localizados en cualquier lugar del planeta para lanzar sus asaltos sin dejar ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploit
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • icial
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • malware
  • micros
  • mint
  • mit
  • mozilla
  • mwf
  • mysql
  • noticia
  • nuevo
  • opensource
  • parche
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra