Nuevo exploit MWF, más malware, y parche no oficial


Mientras se suceden nuevos incidentes protagonizados por exploits y malware basados en la vulnerabilidad WMF que afecta a Windows, y a la falta de un parche oficial por parte de Microsoft, un reputado programador ha publicado una solución.





En los últimos días no han dejado de aparecer nuevos ataques en forma
de malware que aprovechan la vulnerabilidad en el procesamiento WMF.
Destaca la publicación de un nuevo exploit mucho más potente, capaz
de presentarse bajo otros formatos de imágenes y generar código
polimórfico que dificulta su detección genérica por parte de los
antivirus, IDS, y resto de soluciones basadas en firmas.

Uno de los últimos especímenes que hacen uso de este exploit fue
detectado en VirusTotal a las 1:30 horas del día 1 de enero de este
recién estrenado 2006. Precisamente se trata de un troyano que fue
enviado de forma masiva por correo electrónico y que simulaba una
felicitación para el nuevo año. El archivo adjunto, una aparente e
inofensiva imagen en formato JPG, "HappyNewYear.jpg", compromete el
sistema con tan sólo visualizarlo.

En el momento de recibir la muestra en VirusTotal tan sólo Symantec
lo reconocía como Bloodhound.Exploit.56. Al escribir estas líneas
ya lo detectan:

AntiVir [EXP/IMG.WMF.A]
Avira [EXP/IMG.WMF.A]
BitDefender [Exploit.Win32.WMF-PFV]
ClamAV [Exploit.WMF.B]
eTrust-Iris [Win32/Worfo!Trojan]
eTrust-Vet [Win32/Worfo]
Ewido [Not-A-Virus.Exploit.Win32.IMGWMF.a]Fortinet
F-Prot [security risk or a "backdoor" program]
Kaspersky [Exploit.Win32.IMG-WMF.a]
McAfee [Exploit-WMF]
Sophos [Troj/DownLdr-QB]
Symantec [Backdoor.Bifrose]
TheHacker [Exploit/WMF]
VBA32 [Exploit.Win32.IMG-WMF.a]

Sin embargo no se trata de un caso aislado, en los dos últimos días
hemos recibido en VirusTotal 10 variantes de malware con extensión
JPG que aprovechan la vulnerabilidad, y en las últimas horas hemos
recibido tres variantes con extensión GIF, y la previsión es que
vaya en aumento.

Sin duda estamos ante un caso crítico que requiere de Microsoft la
máxima celeridad en la publicación de la pertinente actualización,
sin necesidad de que tengamos que esperar al segundo martes de enero
según su política periódica de distribución de parches. Cada hora
que transcurre sin actualización de Microsoft aumenta el número
de incidentes, recordemos que estamos ante un parque de millones de
sistemas afectados por una vulnerabilidad crítica.

Mientras tanto ha surgido una iniciativa particular, a modo de parche
temporal no oficial, por parte de Ilfak Guilfanov, un reconocido
desarrollador, autor del popular desensamblador IDA. El parche de
Ilfak, además de corregir la vulnerabilidad, no afecta a la
funcionalidad del sistema, por lo que las imágenes seguirán
visualizándose sin problemas.

Desde Hispasec, a la espera de la actualización oficial de Microsoft,
nos unimos a la recomendación de F-Secure y SANS, entre otros, y
aconsejamos instalar el parche de Ilfak, disponible para
Windows 2000, XP 32-bit, XP 64-bit, y Windows Server 2003 en
http://www.hexblog.com/security/files/wmffix_hexblog13.exe

Adicionalmente Ilfak ha publicado una utilidad que permite conocer
si nuestro sistema es o no vulnerable, disponible en la dirección:
http://www.hexblog.com/security/files/wmf_checker_hexblog.exe

 

Más información:

Más malware basado en vulnerabilidad WMF y parche no oficial
http://blog.hispasec.com/laboratorio/87

30/12/2005 - Nuevas consideraciones sobre la vulnerabilidad de proceso de WMFs
http://www.hispasec.com/unaaldia/2624

28/12/2005 - Vulnerabilidad en tratamiento de archivos WMF de Windows
http://www.hispasec.com/unaaldia/2622


Fuente:
Bernardo Quintero
hispasec.com



Otras noticias de interés:

Vulnerabilidad - Agujero de seguridad en GMAIL deja todas las cuentas de correo electronico al descubierto
Se puede leer en seguridad0.com Un nuevo agujero en la seguridad de Gmail, el servicio de correo web gratuito de Google, permite el acceso a las cuentas de usuario de terceros, sin necesidad de conocer la contraseña....
Nueva versión del Linux para operadores CGL con mejoras en seguridad y fiabilidad
La Linux Foundation ha lanzado la versión 5.0 de su especificación Carrier Grade Linux (CGL) para operadores. Esta versión introduce actualizaciones que aumentan la seguridad y la fiabilidad de los sistemas de ficheros, y pretende aportar una plat...
Se publica el protocolo de voz de Google Talk
Hace unas pocas horas se acaba de hacer pública la documentación inicial de Jingle, un protocolo abierto para establecer comunicaciones VoIP entre usuarios, y que es parte de la tecnología utilizada en Google Talk, la herramienta de comunicación ...
Los riesgos de los servicios de geolocalización
La vulnerabilidad de las aplicaciones Web y la naturaleza de los sistemas de localización personal puede resultar una combinación peligrosa, sobre todo por las facilidades que pueden aportar a criminales o acosadores....
Vulnerabilidad en Adobe Reader X permite eludir sandbox
Parece que, en el mercado negro, se está vendiendo por 50.000 dólares una vulnerabilidad en Adobe Reader que permite eludir su sandbox y ejecutar código. No es novedad un grave fallo en Adobe, pero sí que lo es saltarse su sandbox. Lo peor: puede...
Microsoft y otro paquete de boletines de seguridad
Como en otras oportunidades - Tres nuevos boletines de seguridad de Microsoft fueron anunciados, conteniendo parches para conocidas vulnerabilidades en los productos Word, Excel, Windows XP, SQL Server 7.0 y 2000....
El spam no deja de crecer a nivel mundial
La propagación de los virus informáticos y operaciones de spam no cesan de crecer en el mundo. Según el último informe realizado por la empresa Symantec, los mensajes comerciales no deseados se incrementaron 3,3% en agosto de 2010 respecto a juli...
Apple y FireFox parchean vulnerabilidades en Java
Tras el incremento de ataques en equipos Mac a través de varias vulnerabilidades presentes en versiones antiguas de Java, Apple ha movido ficha con la liberación de dos actualizaciones de seguridad. Se trata, concretamente, de un parche de Java par...
Sobre las máquinas de votación y de las captahuellas.... para este 15 de agosto
Ya hemos escuchado hablar muchas veces sobre los sistemas y las máquinas de votación, pues los comentarios a medida que se acerca el gran día hablan de montones de situaciones que se pueden presentar. Aparte de las máquinas de votación de Smartm...
Ejecución remota de código en varios reproductores multimedia
Se ha encontrado una vulnerabilidad en el codec 3ivx (3ivx.dll), usado por múltiples reproductores de archivos multimedia para visualizar archivos MPEG-4. ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploit
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • icial
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • malware
  • micros
  • mint
  • mit
  • mozilla
  • mwf
  • mysql
  • noticia
  • nuevo
  • opensource
  • parche
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra