SoloCodigo

Informática en general => Seguridad y Criptografía => Vulnerabilidades => Mensaje iniciado por: RadicalEd en Jueves 29 de Diciembre de 2005, 16:36

Título: Windows.wmf
Publicado por: RadicalEd en Jueves 29 de Diciembre de 2005, 16:36
Información extraida de Alerta AntiVirus (http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=5625)
Dicho código de explotación aprovecha un problema de Windows XP y 2003 concretamente, en el componente "Visor de imágenes y fax de Windows" (shimgvw.dll) a la hora de tratar metaarchivos de Windows (WMF) para ejecutar código arbitrario.

Si la víctima utiliza Internet Explorer, puede provocarse la ejecución automática de código arbitrario al visitar la web maliciosa. Otros navegadores como Firefox preguntarán sobre si se quiere cargar la imagen en el componente vulnerable antes mencionado, si se acepta también se provocara la ejecución del código.

Este código malicioso se está utilizando para distribuir troyanos como los de la siguiente lista

Trojan-Downloader.Win32.Agent.abs
Trojan-Dropper.Win32.Small.zp,
Trojan.Win32.Small.ga
Trojan.Win32.Small.ev.
TROJ_NASCENE.A
TROJ_NASCENE.B
TROJ_NASCENE.C
TROJ_NASCENE.D

Inicialmente la lista de sistemas vulnerables es la siguiente:

Microsoft Windows XP Tablet PC Edition SP2
Microsoft Windows XP Tablet PC Edition SP1
Microsoft Windows XP Tablet PC Edition
Microsoft Windows XP Professional SP2
Microsoft Windows XP Professional SP1
Microsoft Windows XP Professional
Microsoft Windows XP Media Center Edition SP2
Microsoft Windows XP Media Center Edition SP1
Microsoft Windows XP Media Center Edition
Microsoft Windows XP Home SP2
Microsoft Windows XP Home SP1
Microsoft Windows XP Home
Las pruebas realizadas hasta el momento con un Windows XP SP2 con todas las actualizaciones al día, incluido el parche MS05-053 que en teoría solucionaba el problema de ejecución de código mediante imágenes WMF/EMF (896424), y que fuera publicado por Microsoft en noviembre pasado dieron como resultado la infección del sistema. Más tarde se comprobó que el exploit se basa en una vulnerabilidad totalmente nueva.

Actualmente, Microsoft no ha publicado ningún parche de seguridad para esta vulnerabilidad. Como medida temporal, desregistre el el "Visor de Imágenes y Fax de Windows" o al menos evite utilizarlo para abrir imágenes WMF potencialmente maliciosas.

                           SOLUCION[/b]

Aconsejamos precaución extrema a la hora de abrir adjuntos, páginas de Internet o carpetas compartidas por programas P2P que contengan archivos .WMF.
Para usuarios con más conocimientos desregistrar temporalmente el componente "Visor de imágenes y fax de Windows" (shimgvw.dll). Una vez desregistrado el componente no se inicializara cuando el usuario haga clic en un enlace o tipo de imagen asociada con el "Visor de imágenes y fax de Windows".

Procedimiento: Vaya a Inicio-->Ejecutar-->Teclee cmd, pulse 'Aceptar'. Aparecera una ventana en modo texto (shell de windows) donde deberá teclear "regsvr32 -u %windir%\system32\shimgvw.dll" (sin las comillas) y tras ello pulse 'Enter'.

Nota: Donde pone %windir% tendrá que poner la ruta de su carpeta de windows. Por defecto para windows XP sería C:\WINDOWS.

Un cuadro de dialogo aparecera para confirmar el proceso se ha realizado correctamente. Pulse 'Aceptar' para cerrarlo.

Para restaurar el cambio una vez solucionada la vulnerabilidad vuelva a registrar el componente. Para ello siga el procedimiento que utilizo para desregistralo pero eliminando la cadena de texto "-u". Es decir, tecleando "regsvr32 %windir%\system32\shimgvw.dll" (sin las comillas) en el shell de windows.
[/size]