Todo sobre la vulnerabilidad en cursores animados


Microsoft ha confirmado una vulnerabilidad que afecta a diversas versiones de Windows, y que puede ser explotada a través de archivos .ANI.






La extensión .ANI corresponde a los cursores e iconos
animados de Windows (Windows Animated Cursor), que consisten
en una cantidad determinada de cuadros (imágenes diferentes).

La vulnerabilidad se produce por un desbordamiento de pila,
cuando Windows procesa archivos .ANI mal formados, en los
cuáles la información de referencia en sus cabezales ha sido
alterada.

Un atacante puede provocar un fallo en forma remota, a través
de un archivo .ANI en una página Web maliciosa o desde un
correo electrónico, de modo tal que el kernel de Windows
calcule una dirección errónea para acceder a un cuadro y
entonces falle, provocando la ejecución de código.

Se han detectado exploits activos, que descargan y ejecutan
diferentes troyanos desde Internet. Los exploits reportados
hasta el momento, son interceptados por NOD32, e
identificados como Win32/TrojanDownloader.Ani.G.

Microsoft ha publicado un aviso de seguridad (Microsoft
Security Advisory), identificado como 935423, donde confirma
la existencia del exploit, y se refiere al problema que causa
esta vulnerabilidad.

La ejecución de código mediante este exploit, se realiza con
los mismos privilegios del usuario actual.

La vulnerabilidad afecta a las siguientes versiones de
sistemas operativos soportados actualmente por Microsoft:

- Microsoft Windows 2000 Service Pack 4
- Microsoft Windows XP Service Pack 2
- Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium)
- Microsoft Windows XP Professional x64 Edition
- Microsoft Windows Server 2003
- Microsoft Windows Server 2003 (Itanium)
- Microsoft Windows Server 2003 Service Pack 1
- Microsoft Windows Server 2003 con SP1 (Itanium)
- Microsoft Windows Server 2003 x64 Edition
- Microsoft Windows Vista


* Explotación de la vulnerabilidad

El exploit puede actuar, y un código malicioso ejecutarse, en
cualquiera de estos escenarios:

1. Al visualizar una página con un navegador (no solo
Internet Explorer)

2. Al leer un correo electrónico

3. Al abrir una carpeta local con el explorador de Windows
(configuración por defecto)

En el primer caso, el exploit puede actuar tanto al
visualizar una página web utilizando Microsoft Internet
Explorer como Mozilla Firefox (otros navegadores pueden estar
también afectados). Según Microsoft, Internet Explorer 7.0 en
modo protegido, no es afectado por el exploit, o al menos no
puede ejecutarse el código embebido.

En el segundo caso, aunque Microsoft aconsejó al comienzo
como medida para mitigar los efectos del problema, leer el
correo electrónico como texto sin formato, una lista
publicada por el Internet Storm Center (ISC), del SANS
Institute, muestra como la vulnerabilidad puede ser explotada
en varios clientes de correo, a pesar de que el usuario tome
esa precaución.

En concreto, el exploit puede ejecutarse al leer un correo en
los siguientes programas y condiciones:

1. Al abrir un correo con la configuración por defecto
(formato, etc.):

Son vulnerables:

- Windows XP Outlook Express
- Windows Vista Mail
- Microsoft Outlook 2003

2. Al leer un correo en el panel de vista previa:

Son vulnerables:

- Windows XP Outlook Express
- Windows Vista Mail
- Microsoft Outlook 2003

3. Al abrir un correo en formato solo texto:

Es vulnerable:

- Windows XP Outlook Express

4. Al responder o reenviar un correo, aún con la opción leer
en formato solo texto activa:

Son vulnerables:

- Windows XP Outlook Express
- Windows Vista Mail


* Consideraciones

Los usuarios de Outlook 2007 están protegidos, sin importar
si se leen los mensajes como texto sin formato o no.

Leer el correo electrónico como texto sin formato si se
utiliza Outlook 2002 o posterior, o Windows Mail, puede
ayudar a protegerlo. Sin embargo, en Windows Mail (Windows
Vista), aún al leer texto sin formato, el usuario no está
protegido si responde o reenvía el mensaje recibido del
atacante.

Leer el correo como texto sin formato en Outlook Express, no
mitiga los intentos para explotar esta vulnerabilidad.

Otros clientes de correo como Thunderbird, también son
vulnerables, aún cuando se utilice la lectura en texto plano,
si se hace clic sobre los enlaces.

Según la información actualmente disponible, la
vulnerabilidad no puede ser mitigada bloqueando la descarga
de archivos .ANI, ya que incluso existen archivos renombrados
(como .JPEG, etc.), que pueden igualmente ejecutar el
exploit.

Además, es importante destacar que Windows Explorer (el
Explorador de Windows), puede procesar archivos .ANI con
diferentes extensiones, por ejemplo .CUR, .ICO, etc.

No existe parche oficial al momento actual, a pesar de que el
fallo fue reportado privadamente a Microsoft en diciembre de
2006, por la compañía de seguridad Determina (ver
"Referencias"). Sin embargo, no se conocía ningún exploit
activo hasta ahora (marzo de 2007).

El exploit es considerado un Zero Day (Día cero), basándonos
en la definición más aceptada por los profesionales de la
seguridad. Así, definimos como "Zero Day", a cualquier
exploit que no haya sido mitigado por un parche del vendedor.


* Parches no oficiales

Si bien Microsoft y la mayoría de los expertos de seguridad,
aconsejan no instalar parches que no sean oficiales, el
equipo de seguridad de eEye Digital ha desarrollado una
herramienta que puede servir como solución temporal para
aquellos usuarios que así lo deseen.

El parche temporal, previene que los cursores e iconos
animados, sean cargados fuera de la carpeta de instalación de
Windows. Esto inhabilita la descarga desde cualquier página
de Internet, de iconos potencialmente peligrosos.

El parche debe ser desinstalado antes de aplicar la solución
de Microsoft (cuando ella esté disponible).

Más información:

Windows .ANI Processing (EEYEZD-20070328)
http://research.eeye.com/html/alerts/zeroday/20070328.html


* Medidas de precaución

A pesar de lo que mencionamos antes, Microsoft aconseja
activar la lectura del correo electrónico como "Texto sin
formato".

Para ello, tanto en Outlook Express como en Windows Mail
(Windows Vista), siga las siguientes instrucciones:

1. Seleccione el menú Herramientas, Opciones, lengüeta "Leer"
2. Marque la casilla "Leer todos los mensajes como texto sin
formato".

NOTA: Esta única protección no es efectiva en Outlook
Express. Tampoco lo es en Windows Mail si se responde o
reenvía un mensaje afectado por el exploit.

También desactive el panel de vista previa de la siguiente
manera:

1. Seleccione el menú Ver, Diseño
2. Desmarque la casilla "Mostrar panel de vista previa"

En Thunderbird, abra el menú "Herramientas", "Preferencias",
y en "Avanzadas", "Privacidad", "General", podrá hacer los
cambios necesarios.

Más información:
http://kb.mozillazine.org/Plain_text_e-mail_%28Thunderbird%29

El exploit puede activarse también cuando se visualiza una
carpeta conteniendo un HTML malicioso. Para evitar el
contenido HTML en el explorador de Windows, siga estas
instrucciones:

1. Abra Mi PC
2. Seleccione Herramientas, Opciones de carpetas
3. En la lengüeta "General", en Tareas, seleccione "Utilizar
las carpetas clásicas de Windows".

Se recomienda precaución al recibir correos electrónicos no
solicitados, así como al visitar páginas sugeridas en enlaces
de mensajes que no hemos pedido.

El uso de un antivirus actualizado, es por supuesto
imprescindible.


* Relacionados:

TrojanDownloader.Ani.G. Utiliza archivos .ANI
http://www.vsantivirus.com/trojandownloader-ani-g.htm


* Referencias:

Microsoft Security Advisory (935423)
Vulnerability in Windows Animated Cursor Handling
http://www.microsoft.com/technet/security/advisory/935423.mspx

Microsoft Security Advisory 935423 Posted
http://blogs.technet.com/msrc/archive/2007/03/29/microsoft-security-advisory-
935423-posted.aspx

Update on Microsoft Security Advisory 935423
http://blogs.technet.com/msrc/archive/2007/03/30/update-on-microsoft-security-
advisory-935423.aspx

CVE-2007-0038
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0038

[Full-disclosure] 0-day ANI vulnerability in Microsoft Windows (CVE-2007-0038)
http://archives.neohapsis.com/archives/fulldisclosure/2007-03/0470.html

Vulnerability In Windows Animated Cursor Handling
http://www.determina.com/security_center/security_advisories/securityadvisory_0day_03
2907.asp

Microsoft Windows ANI header stack buffer overflow
http://www.us-cert.gov/cas/techalerts/TA07-089A.html

Microsoft Windows animated cursor ANI header stack buffer overflow
http://www.kb.cert.org/vuls/id/191609

Windows Animated Cursor Handling vulnerability - CVE-2007-0038
http://isc.sans.org/diary.html?storyid=2534

Ani cursor exploits against Microsoft E-mail clients - CVE-2007-0038
http://isc.sans.org/diary.html?storyid=2539

Microsoft Windows Animated Cursor Handling Vulnerability
http://secunia.com/advisories/24659

Vulnerability Summary CVE-2007-1765
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-1765


Fuente:
Por Redacción VSAntivirus
http://www.vsantivirus.com



Otras noticias de interés:

Último parche de Microsoft: ¿Sufriremos otro Blaster?
El día 23 Microsoft publicó un parche fuera de su ciclo habitual, de carácter crítico, en el que se solucionaba un problema de seguridad en el servicio Server de las distintas versiones del sistema operativo Windows. Avisó con un día de antelac...
Apple: Mac OS X v10.6.7 disponible
La compañía acaba de lanzar por fin la versión final de Mac OS X v10.6.7, una esperada actualización con mejoras y correcciones de bugs en la tienda de Apple, la Mac App Store. La actualización pesa 313 MB y se puede descargar desde la sección ...
Liberada la guía de pruebas de OWASP v3 en español
Tras varias semanas de correcciones y últimos retoques, por fín se ha liberado la versión 3 y en español de la guía de pruebas OWASP, de la que os hablamos y presentamos aquí cuando salió su versión original en inglés en Diciembre del año p...
Firefox, objetivo de un ataque scareware
Los usuarios de Firefox están siendo objetivo de los ciberdelincuentes ante el ataque scareware detectado y del que, por el momento, se desconoce su alcance. ...
Piden aumento de medidas de seguridad en redes inalámbricas
En un informe presentado a la ONU, realizado por un grupo de expertos en seguridad, se ha puesto de manifiesto la necesidad de aumentar la seguridad de las nuevas redes inalámbricas, según ha informado Europa Press....
Detectan origen de recientes ataques informáticos
Detectan origen de recientes ataques informáticos...
HP corrige vulnerabilidad detectada en sus impresoras
El fallo de seguridad que afecta a una docena de modelos de impresoras de la gama LaserJet Pro de HP ya puede ser corregido con la simple actualización del firmware de las impresoras afectadas. La vulnerabilidad podía permitir el acceso a los datos...
Primer paso para el Internet Cuántico
Un experimento realizado por físicos del Instituto Niels Bohr ha demostrado que la luz posee una memoria cuántica capaz de comunicaciones mucho más rápidas y seguras a través de Internet. Han conseguido almacenar...
Microsoft ama a los hackers éticos
En una acción nunca vista hasta ahora de parte de alguna gran empresa, Microsoft se comprometió públicamente a no presentar demandas o cargos, contra los hackers éticos que de manera responsable, encuentren e informen de los fallos de sus servi...
Síndrome de visión informática, la nueva enfermedad 2.0
El uso constante de computadoras, celulares y otros dispositivos móviles representa un riesgo para la salud ocular....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • animados
  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • cursores
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidad
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra