sábado, diciembre 31, 2005

Problemas con archivos .WMF Parte de la solución al problema de los Archivos WMF

Problemas con archivos .WMF

¡Hola!. Las noticias que hablan sobre la vulnerabilidad en los archivos .WMF crecen en la gravedad que presenta este problema, mientras más se conoce de este. Entre otras afirmaciones, podemos decir lo siguiente:


 Por ejemplo, se sabe que abrir un archivo con la extensión .WMF en MSPaint, incluso con la desregistración del componente SHIMGVW.DLL, es problemático. Esto sucede, incluso si se le cambia la extensión al archivo, debido a las carecterísticas del exploit, esta vulnerabilidad es explotable utilizando otras extensiones asociadas al visor de imágenes y fax de Windows, como por ejemplo BMP, DIB, EMF, GIF, ICO, JFIF, JPE, JPEG, JPG, PNG, RLE, TIF, TIFF, etc. Además, muchos programas (como MSPAINT), interpretan el archivo WMF como tal aún cuando lo renombremos como JPG por ejemplo. Esto es porque leen los datos de su cabecera (los llamados "bytes mágicos"), sin tomar en cuenta la extensión. Por esta razón no es válida ninguna solución que pase por filtrar archivos por su extensión o tipo. Sucede lo mismo si se utiliza IrfanView o ACDSee.



 El "filtrar" los sitios Web como muchos aconsejaron al comienzo, ya que la cantidad de WebPages que se aprovechan del exploit es alta y además cambia segundo a segundo. Todos los exploits conocidos descargan y ejecutan otros archivos (generalmente troyanos), de Internet. El primer exploit que fue detectado, creaba un archivo A.EXE que al ejecutarse, intentaba descargar otro archivo desde la web. Actualmente, la mayoría de los exploits al ejecutarse, despliegan alguna clase de alerta de texto, por ejemplo una ventana de información (tipo globo), donde se le indica al usuario que está infectado con algún adware o spyware ("Your computer is infected!", etc.), y se le pide descargar un programa para limpiar la infección.


De todos modos, el escenario no está limitado a este tipo de acción, ya que al poderse ejecutar un código sin el conocimiento del usuario, cualquier acción maliciosa es posible. La razón de que la mayoría de los exploits conocidos a la fecha hagan cosas similares, es porque al haber sido hecho público el código del mismo, cualquiera puede crear su propio troyano. Cómo la mayoría de las personas no tienen los conocimientos necesarios, simplemente se dedican a cortar y pegar, y a cambiar unos pocas líneas del código original.



 No se está totalmente protegido si se utiliza por ejemplo Firefox en lugar de Internet Explorer. Versiones más antiguas de Firefox (1.0.x), abren las imágenes WMF con el visor de imágenes y fax de Windows y son vulnerables. La versión más reciente (1.5.x), intentan abrirlas con el Reproductor de Windows Media, que no es vulnerable. Opera también abre estas imágenes con el visor de imágenes y fax de Windows. De todos modos, todos estos navegadores le preguntan al usuario sidesea abrir dichos archivos.



 Microsoft desarrolló la protección DEP (Data Execution Prevention o "Prevención de ejecución de datos"), siendo una característica que se instala en Windows XP SP2, Windows Server 2003 SP1 y Windows XP Tablet PC Edition 2005, y que permite proteger el sistema de la ejecución de código malicioso en alguna parte de la memoria marcada sólo para datos. Esta protección puede aplicarse a nivel de hardware en los equipos más modernos, cuyos microprocesadores contengan dicha función, o en caso contrario a nivel de software. Cuando la protección es a nivel de softwaresolamente (la mayoría de los equipos actuales no lo soporta por hardware aún), entonces el exploit igual se ejecuta.



 Aunque actualmente el componente relacionado con el exploit es la biblioteca SHIMGVW.DLL, la razón de que se pueda ejecutar código, está en las características de la interfase gráfica de Windows (Windows Graphic Display Interface o GDI). La interfase gráfica es la que permite a las aplicaciones utilizar gráficos y textos con formato. Las aplicaciones pueden utilizar llamadas especiales a la GDI para controlar funciones que directamente no podrían hacer, por ejemplo, detener un trabajo de impresión.



 Los archivos WMF (Windows Metafile), son archivos gráficos que contienen además secuencias de llamadas a funciones GDI. La imagen es creada (visualizada), ejecutando dichas funciones. El problema se presenta porque algunas de esas funciones pueden corromperse. El exploit actualmente en circulación, se vale de una función que ya es obsoleta, y se conserva solo por compatibilidad con las versiones de 16 bit de Windows. En concreto, es la secuencia de escape GDI llamada SETABORTPROC, la que el exploit utiliza para ejecutar código de forma arbitraria cuando un archivo WMF es visualizado. Sin embargo, otras funciones similares también podrían ser explotadas en el futuro.



 Aunque el exploit actual se basa en el visor de imágenes y fax de Windows (SHIMGVW.DLL), la vulnerabilidad principal se encuentra en la biblioteca de la interfase gráfica propiamente dicha (GDI32.DLL, Windows Graphical Device Interface library). Desregistrar SHIMGVW.DLL solo nos protege del exploit actualmente hecho público. De todos modos, no se conocen al momento exploits para otros componentes relacionados con el GDI.



 Esta vulnerabilidad afecta directa o indirectamente a otras aplicaciones, al momento actual se han confirmado esto en Google Desktop y Lotus Notes. Otras aplicaciones que visualicen o indexen archivos WMF también son indirectamente vulnerables (Firefox y Opera por ejemplo, aunque según la versión, y con la ventaja de que preguntan al usuario antes de abrir un archivo WMF).
 No existe una protección definitiva, hasta que Microsoft no publique un parche que corrija el problema. Mientras tanto, la que más resultados ha dado es la de desregistrar el componente SHIMGVW.DLL como se explica a continuación. Esta acción también es sugerida actualmente por Microsoft.


1. Cierre el Internet Explorer y cualquier otra ventana abierta.

2. Desde Inicio, Ejecutar, escriba lo siguiente (más Enter):
regsvr32 -u %windir%\system32\shimgvw.dll

3. Si el comando es ejecutado con éxito, se abrirá una ventana con el texto "DllUnregisterServer en C:\WINDOWS\system32\shimgvw.dll se realizó con éxito.". Ciérrela pulsando en Aceptar.

4. Esto afecta la apertura de archivos asociados al visor de imágenes y fax de Windows. Si por alguna razón desea volver a activar esta facilidad, utilice los mismos pasos indicados antes, pero con la siguiente modificación en lo especificado en el punto 2:

regsvr32 %windir%\system32\shimgvw.dll

En todo caso, las instrucciones para dicha opción se encuentran aquí. (en inglés)

5. En Windows Me, se deben utilizar las siguientes líneas de comando:
regsvr32 -u %windir%\system\shimgvw.dll
regsvr32 %windir%\system\shimgvw.dll

 Utilizar un cortafuegos que detecte intentos de conexión desde el PC hacia el exterior (por ejemplo Zone Alarm), puede ser de gran ayuda a la hora de detener el intento de conexión de un archivo ejecutado por el exploit, cuando intente conectarse a un determinado sitio Web para descargar otros componentes. Usar un antivirus actualizado es fundamental. De todos modos, tenga en cuenta que no todas las versiones del exploit son detectadas por todos los antivirus.Como ejemplo, estos son los resultados de Virus Total (resultados a las 17:00 del día 30 de Diciembre (GMT -4):


AntiVir 6.33.0.70 30.12.2005 no ha encontrado virusAvast 4.6.695.0 30.12.2005 Win32:ExdownAVG 718 30.12.2005 no ha encontrado virusAvira 6.33.0.70 30.12.2005 no ha encontrado virusBitDefender 7.2 31.12.2005 Exploit.Win32.WMF-PFVCAT-QuickHeal 8.00 31.12.2005 no ha encontrado virusClamAV devel-20051123 29.12.2005 no ha encontrado virusDrWeb 4.33 30.12.2005 no ha encontrado viruseTrust-Iris 7.1.194.0 30.12.2005 no ha encontrado viruseTrust-Vet 12.4.1.0 31.12.2005 no ha encontrado virusEwido 3.5 30.12.2005 no ha encontrado virusFortinet 2.54.0.0 31.12.2005 no ha encontrado virusF-Prot 3.16c 30.12.2005 no ha encontrado virusIkarus 0.2.59.0 30.12.2005 no ha encontrado virusKaspersky 4.0.2.24 31.12.2005 Exploit.Win32.IMG-WMFMcAfee 4663 30.12.2005 Exploit-WMFNOD32v2 1.1347 30.12.2005 variant of Win32/Exploit.WMFNorman 5.70.10 31.12.2005 W32/Exploit.GenPanda 9.0.0.4 30.12.2005 Exploit/WMFSophos 4.01.0 30.12.2005 no ha encontrado virusSymantec 8.0 31.12.2005 no ha encontrado virusTheHacker 5.9.1.064 29.12.2005 no ha encontrado virusUNA 1.83 30.12.2005 no ha encontrado virusVBA32 3.10.5 30.12.2005 no ha encontrado virus

De un total de 25 soluciones antivirus, sólo seis logran identificar el problema.
Esto es un aporte de Francisco Velasco Castillo.
Pablo Ramírez Torrejón (PD)


posted by Pablo Ramírez Torrejón at 6:08 p. m.

Arturito
RelojesWeb.com

Previous Posts

Powered by Blogger

Video code provided by Music Video Codes
Google Groups Subscribe to Educación Vial, Transporte y Logística
Email:
Browse Archives at groups.google.com

Díga lo que piensa de nuestro Blog, y otro tema que se le ocurra. Agradesco todos sus comentarios y sugerencias

¿Qué clase de comentario quiere enviar?

Queja Problema Sugerencia Elogio

¿Escriba su Comentario?

Otros

Escriba sus Comentarios en Espacio Siguiente:

Díga Cómo Entramos en Contacto con Usted:

Nombre
Correo Electrónico
Teléfono
Fax
Favor, pónganse en contacto

PARATO.
Copyright © 1999 Reservados Todos los Derechos.
.