[Thylacinus.net]

Extraído de la página de Hispasec. Una posible solución mientras Microsoft no publica el parche (lo hacen el día 10 de Enero) está en el texto extendido de la noticia.

A lo largo del día de hoy se ha detectado en la red un exploit que aprovecha una vulnerabilidad de Microsoft Windows XP y 2003, para la que de momento no existe parche, y que puede ser explotada por atacantes remotos para comprometer los sistemas afectados.

Dicho código de explotación, localizado en el dominio unionseek[PUNTO]com, aprovecha un problema de Windows XP y 2003 (concretamente, en el componente "Visor de imágenes y fax de Windows") a la hora de tratar metaarchivos de Windows (WMF) para ejecutar código arbitrario.

Si la víctima utiliza Internet Explorer, puede provocarse la ejecución automática de código arbitrario al visitar la web maliciosa. Otros navegadores como Firefox preguntarán sobre si se quiere cargar la imagen en el componente vulnerable antes mencionado.

Este código malicioso se está utilizando para distribuir troyanos como Trojan-Downloader.Win32.Agent.abs, Trojan-Dropper.Win32.Small.zp, Trojan.Win32.Small.ga y Trojan.Win32.Small.ev.

En estos momentos varias soluciones antivirus presentes en VirusTotal detectan el exploit, por lo que además conviene mantener actualizado el antivirus que se utilice.

El problema se ha confirmado en sistemas XP y 2003 totalmente parcheados, aunque no se descarta que pueda afectar a otras plataformas.

A la espera de un parche de actualización que solvente el problema, se recomienda filtrar el acceso a dicho dominio, además de archivos en ese formato a nivel aplicación (proxy web, servidor de correo, etc).'Texto ampliado también extraído de Hispasec.

<

Tal y como comentábamos en el una-al-día de ayer, están proliferando los sitios webs que contienen archivos Windows MetaFile (WMF) especialmente diseñados para explotar un desbordamiento de buffer en la biblioteca que procesa, entre otros, los archivos de imágenes WMF.

Microsoft amplía el número de sistemas afectados por la vulnerabilidad a prácticamente la mayoría de versiones Windows, según su aviso entre el software afectado se encuentra Windows 98, Windows 98SE, Windows ME, Windows 2000 SP4, Windows XP SP1, Windows XP SP2, Windows XP x64 Edition, Windows 2003 y Windows 2003 SP1 en sus versiones Itanium y x64.

En el apartado de prevención, se recomienda no visitar enlaces no confiables que nos lleguen a través del correo electrónico, IRC, mensajería instantánea, foros web, grupos de noticias, etc. que podrían ser un cebo para que visitemos las páginas que contienen los archivos WMF maliciosos.

Otro consejo genérico, que además puede prevenir de otro tipo de ataques, como el phishing, pasa por configurar nuestro cliente de correo para leer los mensajes sin formato, sólo en modo texto.

Adicionalmente, como medida de mitigación a la espera del parche específico que corrija esta vulnerabilidad, Microsoft ha documentado como puede desactivarse la biblioteca Shimgvw.dll utilizada por el Visor de imágenes y Fax de Windows, y que está siendo aprovechada por los archivos WMF maliciosos conocidos hasta la fecha.

Los pasos son los siguientes:

* Desde el menú Inicio, seleccionar Ejecutar, y teclear (sin las comillas): "regsvr32 -u %windir%\system32\shimgvw.dll"
* Aparecerá una ventana informando de que la operación se ha realizado con éxito. Aceptamos.

Como efecto colateral a esta medida de mitigación, el Visor de Imágenes y Fax de Windows no funcionará cuando intentemos abrir directamente un archivo asociado a esta aplicación, ni podremos previsualizar los archivos WMF en Explorer.

Cuando Microsoft publique e instalemos el parche para corregir la vulnerabilidad podremos reestablecer la funcionalidad de esta aplicación con los mismos pasos descritos anteriormente, pero ejecutando en esta ocasión el comando (sin las comillas) "regsvr32 %windir%\system32\shimgvw.dll"

Desde Hispasec también debemos indicar que la mayoría de soluciones antivirus están incorporando firmas para proteger a sus usuarios contra los archivos WMF maliciosos, aunque la proliferación de variantes es continua.

Como ejemplo, aquí podemos ver como detecta cada solución antivirus una de las primeras versiones publicadas de archivo WMF que explota la vulnerabilidad para descargar spyware:

AntiVir [TR/Dldr.WMF.Small]
Avast [Win32:Exdown]
AVG [Downloader.Agent.13.AJ]
Avira [TR/Dldr.WMF.Small]
BitDefender [Exploit.Win32.WMF-PFV.A]
CAT-QuickHeal [WMF.Exploit]
ClamAV [Exploit.WMF.A]
DrWeb [Exploit.MS05-053]
eTrust-Iris [Win32/Worfo.B!Trojan]
eTrust-Vet [Win32/Worfo]
Ewido [Not-A-Virus.Exploit.Win32.Agent.r]
Fortinet [W32/WMF-exploit]
F-Prot [security risk or a "backdoor" program]
Kaspersky [Trojan-Downloader.Win32.Agent.acd]
McAfee [Exploit-WMF]
NOD32v2 [Win32/TrojanDownloader.Wmfex]
Panda [Exploit/Metafile]
Sophos [Troj/DownLdr-LW]
Symantec [Download.Trojan]
TheHacker [Exploit/WMF]

Otra medida de mitigación, aunque evidentemente no es mencionada en el aviso de Microsoft, es utiliza un navegador diferente a Internet Explorer, como Firefox u Opera, que no procesan automáticamente los archivos WMF y requieren la intervención del usuario para abrirlos.

Por último, esperar que Microsoft acelere, en la medida de lo posible, la publicación del parche correspondiente, sin necesidad de esperar al segundo martes del mes que viene según su política de publicación periódica, ya que sin duda se trata de un caso excepcional: la vulnerabilidad es crítica, está siendo explotada de forma activa, y el número de ataques/variantes aumenta progresivamente. >>