FAQ del fallo de seguridad de WMF
Traducido por Borja Marcos
- ¿Por qué es tan importante este problema?
Esta vulnerabilidad utiliza
imágenes (archivos WMF) para ejecutar
código
arbitrario. Se ejecutará simplemente por visualizar la
imagen.
No es necesario "pinchar" nada ni aceptar.
Incluso las imágenes
almacenadas en el disco del usuario
pueden ser peligrosas si se las
referencia desde algún
programa de búsqueda o índice del contenido
del
disco. Al examinar un directorio de imágenes con la vista
previa
de las mismas en forma de iconos también se puede
explotar la
vulnerabilidad.
- ¿Qué es mejor
utilizar? ¿Firefox o Explorer?
Internet Explorer puede
mostrar la imagen y, por tanto, activar el
código sin
previo aviso. Las nuevas versiones de Firefox preguntarán
al
usuario antes de abrir la imagen. Sin embargo, en la mayor parte
de
los entornos esto ofrece una protección muy limitada ya que
se
trata de imágenes y en general se consideran
inofensivas.
- ¿A qué versiones de Windows
afecta?
A todas. Windows 2000, Windows XP (SP1 y SP2), y
Windows 2003. Todos
están afectados de alguna manera. Mac
OS X, Unix o BSD no se ven
afectados.
Nota: Si usted está
utilizando aún Windows 98 ó ME, es un mal
momento.
Creemos (no ha sido probado completamente) que también
son
vulnerables y no habrá parche de Microsoft. Las
opciones para
protegerse son, por tanto, muy limitadas. Necesita
actualizar lo
antes posible.
- ¿Qué puedo
hacer para protegerme?
1. Microsoft no ha publicado un parche
aún. Ilfak Guilfanov distribye
un parche extraoficial. Tom
Liston, miembro de nuestro equipo,
examinó el parche y
nosotros lo hemos comprobado. La versión revisada
y
comprobada está disponible en .... (URL)....
2. Puede
eliminar la DLL afectada
3. Los antivirus pueden proporcionar
una protección limitada
Para desactivar la DLL:
-
Pinche "Inicio", "Ejecutar", y teclee "regsvr32
-u %windir%\system32
\shimgvw.dll" (sin las comillas).
Después, "aceptar".
- Aparecerá una
ventana indicando que la desactivación ha tenido
éxito.
Pinche "aceptar" para cerrarla.
****NUESTRA
RECOMENDACIÓN OFICIAL ES QUE POR EL MOMENTO HAGA
_AMBAS_
COSAS. ELIMINE LA DLL Y UTILICE EL PARCHE
EXTRAOFICIAL****
- ¿Cómo funciona el parche
extraoficial?
La librería wmfhotfix.dll se añade
a cualquier proceso que cargue
user32.dll. La DLL entonces
modifica (en memoria), la función Escape
() de gdi32.dll de
manera que ésta ignore cualquier llamada que
utilice el
parámetro SETABORTPROC (es decir, 0x90). Esto debería
permitir
a los programas en Windows visualizar imágenes
WMF
correctamente, pero bloqueando la vulnerabilidad. La versión
del
parche disponible aquí (URL) ha sido cuidadosamente
revisada y
comprobada con todas las versiones conocidas de los
programas que
explotan la vulnerabilidad. Debería funcionar
en Windows XP (SP1 y
SP2) y Windows 2000.
- ¿Me
protegerá el desactivar la DLL (sin utilizar el
parche)?
Podría ayudar, pero no es infalible. Queremos
dejarlo muy claro.
Tenemos algunos indicios muy fiables de que
simplemente desactivar
shimgvw.dll no siempre es suficiente. Puede
ser reactivada por algún
programa malicioso simplemente por
la instalación de algún programa,
y podrían
darse casos de reactivación de la dll en sistemas
en
funcionamiento que se han visto afectados, haciendo que el
ataque
tuviera éxito. Además, puede que existan
otras vías de ataque contra
la función Escape() de
gdi32.dll. Hasta que haya un parche de
Microsoft disponible,
recomendamos utilizar el extraoficial además de
desactivar
shimgvw.dll.
- ¿Debería simplemente borrar la
DLL?
Podría no ser mala idea, pero la protección
de archivos de Microsoft
probablemente la reemplazará.
Debería desactivar la función de
protección
de archivos primero. Además, cuando el parche definitivo
esté
disponible necesitará reemplazar la DLL. Renombrarla, en
lugar
de borrarla, es probablemente una opción mejor, de
manera que siga
disponible para cuando se instale el parche.
-
¿Debería simplemente bloquear los archivos WMF?
Podría
ayudar, pero no es suficiente. Los archivos WMF se identifican
por
una cabecera especial y no se necesita la extensión. Los
archivos
podrían llegar con una extensión diferente,
sin extensión, o incluso
embebidos en documentos Word o de
otro tipo.
- ¿Qué es DEP (Protección
contra ejecución de datos) y cómo puede
ayudarme?
Con
Windows XP SP2, Microsoft presentó DEP. Protege contra una
amplia
gama de ataques, evitando que se puedan ejecutar programas
desde
"segmentos de datos". Sin embargo, para funcionar
necesita soporte
por parte del hardware. Algunos procesadores,
como los de 64 bit de
AMD, proporcionan protección DEP
completa y evitarán el ataque.
- ¿Cómo
son de eficaces los antivirus para detectar el ataque?
En este
momento estamos al corriente de que existen versiones del
ataque
que no detectan los antivirus, aunque esperamos que los
fabricantes
se pondrán al día rápidamente. Sin embargo,
puede ser una
dura batalla. Sistemas antivirus actualizados son
necesarios pero es
probable que no sean suficientes.
-
¿Cómo podría entrar en mi sistema un archivo WMF
malicioso?
Hay demasiadas vías como para mencionarlas
todas. Archivos adjuntos
de correo electrónico, páginas
web y mensajería instantánea son las
fuentes más
probables. No olvide además las redes P2P y otras fuentes.
-
¿Es suficiente con advertir a mis usuarios para que no
visiten
páginas web que no sean de confianza?
No.
Ayuda pero no es en absoluto suficiente. Hemos visto al menos un
web
de confianza comprometido (knoppix-std.org).
Como parte del
ataque se añadió un "frame"
que redirigía a los usuarios a un archivo
WMF corrompido.
Se han utilizado sitios web "de confianza" de
formas
similares en el pasado.
- ¿Cuál es en
realidad el problema con los archivos WMF?
Los archivos WMF
son algo diferentes de otros formatos de imagen. En
lugar de
contener simplemente pixels y colores los archivos WMF
pueden
llamar a subprogramas externos. Una de esas llamadas puede
utilizarse
para ejecutar código.
- ¿Debería usar
algo similar a "dropmyrights" para reducir el impacto
de
la vulnerabilidad?
Definitivamente, sí. Además,
evite trabajar como administrador para
el trabajo del día a
día. Sin embargo, esto solamente reducirá el
impacto
de la vulnerabilidad y no evitará que se pueda
explotar.
Además, visitar una página web es
solamente una de las formas
posibles de activar el ataque. Si la
imagen queda almacenada en su
sistema y posteriormente es
visualizada por un administrador, podría
verse afectado.
-
¿Son vulnerables mis servidores?
Quizás.
¿Permite que se almacenen imágenes? ¿Correo
electrónico? ¿Se
generan índices de esas
imágenes? ¿Utiliza en ocasiones un navegador
web
para acceder al servidor? En resumen: si alguien puede copiar
una
imagen a su servidor, y alguna DLL la examina, su servidor
puede muy
bien ser vulnerable.
- ¿Qué puedo
hacer en el perímetro para proteger mi red?
No mucho.
¿Un proxy que elimine todas las imágenes de las
páginas
web? Probablemente no siente muy bien a sus
usuarios. Al menos
bloquee las imágenes .WMF (lea más
arriba sobre las extensiones). Si
su proxy tiene algún tipo
de antivirus, podría proteger algo. Lo
mismo se aplica a
los servidores de correo. Cuanto más limite la
capacidad de
sus usuarios para conectarse al exterior, mejor. Una
monitorización
cuidadosa de las estaciones de trabajo de los usuarios
puede
ayudar a obtener indicios de que una estación está
comprometida.
- ¿Puedo utilizar un IDS (detector de
intrusos) para detectar el ataque?
Casi todos los fabricantes
de IDSs están trabajando en las firmas.
Póngase en
contacto con el suyo para conocer los detalles.
bleedingsnort.org
está actualizando algunas firmas de forma
permanente para
usuarios de Snort.
- Si me veo afectado, ¿qué
puedo hacer?
No mucho :-(. Depende mucho de la versión
exacta del ataque que le
haya afectado. La mayor parte de ellas
descargarán componentes
adicionales. Puede ser muy difícil,
incluso imposible, encontrar
todos los componentes. Microsoft
ofrece un soporte gratuito para
casos como éste en el
número 1-866-727-2389.
- ¿Ha dicho algo
Microsoft al respecto?
http://www.microsoft.com/technet/security/advisory/912840.mspx
(en
inglés) pero no hay aún un parche disponible.
-
¿Qué ha publicado el CERT?
(en
inglés)
http://www.kb.cert.org/vuls/id/181038
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-4560