Nuevo exploit MWF, más malware, y parche no oficial


Mientras se suceden nuevos incidentes protagonizados por exploits y malware basados en la vulnerabilidad WMF que afecta a Windows, y a la falta de un parche oficial por parte de Microsoft, un reputado programador ha publicado una solución.





En los últimos días no han dejado de aparecer nuevos ataques en forma
de malware que aprovechan la vulnerabilidad en el procesamiento WMF.
Destaca la publicación de un nuevo exploit mucho más potente, capaz
de presentarse bajo otros formatos de imágenes y generar código
polimórfico que dificulta su detección genérica por parte de los
antivirus, IDS, y resto de soluciones basadas en firmas.

Uno de los últimos especímenes que hacen uso de este exploit fue
detectado en VirusTotal a las 1:30 horas del día 1 de enero de este
recién estrenado 2006. Precisamente se trata de un troyano que fue
enviado de forma masiva por correo electrónico y que simulaba una
felicitación para el nuevo año. El archivo adjunto, una aparente e
inofensiva imagen en formato JPG, "HappyNewYear.jpg", compromete el
sistema con tan sólo visualizarlo.

En el momento de recibir la muestra en VirusTotal tan sólo Symantec
lo reconocía como Bloodhound.Exploit.56. Al escribir estas líneas
ya lo detectan:

AntiVir [EXP/IMG.WMF.A]
Avira [EXP/IMG.WMF.A]
BitDefender [Exploit.Win32.WMF-PFV]
ClamAV [Exploit.WMF.B]
eTrust-Iris [Win32/Worfo!Trojan]
eTrust-Vet [Win32/Worfo]
Ewido [Not-A-Virus.Exploit.Win32.IMGWMF.a]Fortinet
F-Prot [security risk or a "backdoor" program]
Kaspersky [Exploit.Win32.IMG-WMF.a]
McAfee [Exploit-WMF]
Sophos [Troj/DownLdr-QB]
Symantec [Backdoor.Bifrose]
TheHacker [Exploit/WMF]
VBA32 [Exploit.Win32.IMG-WMF.a]

Sin embargo no se trata de un caso aislado, en los dos últimos días
hemos recibido en VirusTotal 10 variantes de malware con extensión
JPG que aprovechan la vulnerabilidad, y en las últimas horas hemos
recibido tres variantes con extensión GIF, y la previsión es que
vaya en aumento.

Sin duda estamos ante un caso crítico que requiere de Microsoft la
máxima celeridad en la publicación de la pertinente actualización,
sin necesidad de que tengamos que esperar al segundo martes de enero
según su política periódica de distribución de parches. Cada hora
que transcurre sin actualización de Microsoft aumenta el número
de incidentes, recordemos que estamos ante un parque de millones de
sistemas afectados por una vulnerabilidad crítica.

Mientras tanto ha surgido una iniciativa particular, a modo de parche
temporal no oficial, por parte de Ilfak Guilfanov, un reconocido
desarrollador, autor del popular desensamblador IDA. El parche de
Ilfak, además de corregir la vulnerabilidad, no afecta a la
funcionalidad del sistema, por lo que las imágenes seguirán
visualizándose sin problemas.

Desde Hispasec, a la espera de la actualización oficial de Microsoft,
nos unimos a la recomendación de F-Secure y SANS, entre otros, y
aconsejamos instalar el parche de Ilfak, disponible para
Windows 2000, XP 32-bit, XP 64-bit, y Windows Server 2003 en
http://www.hexblog.com/security/files/wmffix_hexblog13.exe

Adicionalmente Ilfak ha publicado una utilidad que permite conocer
si nuestro sistema es o no vulnerable, disponible en la dirección:
http://www.hexblog.com/security/files/wmf_checker_hexblog.exe

 

Más información:

Más malware basado en vulnerabilidad WMF y parche no oficial
http://blog.hispasec.com/laboratorio/87

30/12/2005 - Nuevas consideraciones sobre la vulnerabilidad de proceso de WMFs
http://www.hispasec.com/unaaldia/2624

28/12/2005 - Vulnerabilidad en tratamiento de archivos WMF de Windows
http://www.hispasec.com/unaaldia/2622


Fuente:
Bernardo Quintero
hispasec.com



Otras noticias de interés:

Día de la Libertad del Documento 2009
Por segundo año consecutivo se celebra en el día de la fecha el Día de la Libertad del Documento....
Nueva versión de OpenOffice 2.4.1
Esta disponible una nueva versión de OpenOffice 2.4.1, el popular suite ofimática libre de código abierto...
Vulnerabilidad al visualizar archivos Excel desde diferentes programas
Se ha anunciado una vulnerabilidad de desbordamiento de búfer en una librería empleada por diversos programas para la visualización de archivos en formato Excel por la que un usuario remoto podría provocar la ejecución de código arbitrario en l...
Unos hackers atacan la web de Microsoft en Francia
Unos hackers turcos han atacado la web francesa de Microsoft, que ayer quedó fuera de servicio en parte de sus páginas debido un servidor mal configurado en el proveedor de alojamiento web de la compañía....
Denegación de servicio en Microsoft ISA Server
Existe un problema en el filtro de aplicación de detección de intrusiones DNS de ISA Server, resultante de que el filtro no analiza adecuadamente un tipo específico de petición cuando se analizan peticiones DNS entrantes. Este fallo permitirá a ...
Systemic el buscador de planetas
Ya podemos buscar planetas extrasolares desde casa, al estilo de SETI@home, accediendo a una base de datos de 100.000 estrellas, mediante una cómoda consola de Java....
Exhiben riesgos y tendencias en seguridad informática
El crecimiento acelerado de la información, el uso constante de redes sociales y el surgimiento de dispositivos móviles los principales retos en seguridad...
El 2007, será el año del hacker!
Algunas firmas dedicadas a la seguridad vuelven a destapar sus previsiones en esta época navideña y nos advierten de lo que a su entender puede ocurrir el 2007 con los hackers y crackers....
CURSOS DE PHP: ULTIMOS CUPOS PARA CURSO EN LA CIUDAD DE PUERTO ORDAZ
CERTIFICACION COMPLETA Últimos cupos para el curso a realizarse en la ciudad de Puerto Ordaz de Certificación Completa (Los 3 niveles), tendrá una duración de 40 Horas....
Alerta sobre falsa actualización de Microsoft
Una falsa actualización de Microsoft, descarga un troyano que simula una infección. Lo irónico, es que la misma dice ser una actualización para la Herramienta de eliminación de software malintencionado de Windows. ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploit
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • icial
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • malware
  • micros
  • mint
  • mit
  • mozilla
  • mwf
  • mysql
  • noticia
  • nuevo
  • opensource
  • parche
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra