FAQ del fallo de seguridad de WMF



Traducido por Borja Marcos


- ¿Por qué es tan importante este problema?

Esta vulnerabilidad utiliza imágenes (archivos WMF) para ejecutar
código arbitrario. Se ejecutará simplemente por visualizar la imagen.
No es necesario "pinchar" nada ni aceptar. Incluso las imágenes
almacenadas en el disco del usuario pueden ser peligrosas si se las
referencia desde algún programa de búsqueda o índice del contenido
del disco. Al examinar un directorio de imágenes con la vista previa
de las mismas en forma de iconos también se puede explotar la
vulnerabilidad.

- ¿Qué es mejor utilizar? ¿Firefox o Explorer?

Internet Explorer puede mostrar la imagen y, por tanto, activar el
código sin previo aviso. Las nuevas versiones de Firefox preguntarán
al usuario antes de abrir la imagen. Sin embargo, en la mayor parte
de los entornos esto ofrece una protección muy limitada ya que se
trata de imágenes y en general se consideran inofensivas.

- ¿A qué versiones de Windows afecta?

A todas. Windows 2000, Windows XP (SP1 y SP2), y Windows 2003. Todos
están afectados de alguna manera. Mac OS X, Unix o BSD no se ven
afectados.

Nota: Si usted está utilizando aún Windows 98 ó ME, es un mal
momento. Creemos (no ha sido probado completamente) que también son
vulnerables y no habrá parche de Microsoft. Las opciones para
protegerse son, por tanto, muy limitadas. Necesita actualizar lo
antes posible.

- ¿Qué puedo hacer para protegerme?

1. Microsoft no ha publicado un parche aún. Ilfak Guilfanov distribye
un parche extraoficial. Tom Liston, miembro de nuestro equipo,
examinó el parche y nosotros lo hemos comprobado. La versión revisada
y comprobada está disponible en .... (URL)....

2. Puede eliminar la DLL afectada

3. Los antivirus pueden proporcionar una protección limitada

Para desactivar la DLL:

- Pinche "Inicio", "Ejecutar", y teclee "regsvr32 -u %windir%\system32
\shimgvw.dll" (sin las comillas). Después, "aceptar".

- Aparecerá una ventana indicando que la desactivación ha tenido
éxito. Pinche "aceptar" para cerrarla.

****NUESTRA RECOMENDACIÓN OFICIAL ES QUE POR EL MOMENTO HAGA _AMBAS_
COSAS. ELIMINE LA DLL Y UTILICE EL PARCHE EXTRAOFICIAL****


- ¿Cómo funciona el parche extraoficial?

La librería wmfhotfix.dll se añade a cualquier proceso que cargue
user32.dll. La DLL entonces modifica (en memoria), la función Escape
() de gdi32.dll de manera que ésta ignore cualquier llamada que
utilice el parámetro SETABORTPROC (es decir, 0x90). Esto debería
permitir a los programas en Windows visualizar imágenes WMF
correctamente, pero bloqueando la vulnerabilidad. La versión del
parche disponible aquí (URL) ha sido cuidadosamente revisada y
comprobada con todas las versiones conocidas de los programas que
explotan la vulnerabilidad. Debería funcionar en Windows XP (SP1 y
SP2) y Windows 2000.

- ¿Me protegerá el desactivar la DLL (sin utilizar el parche)?

Podría ayudar, pero no es infalible. Queremos dejarlo muy claro.
Tenemos algunos indicios muy fiables de que simplemente desactivar
shimgvw.dll no siempre es suficiente. Puede ser reactivada por algún
programa malicioso simplemente por la instalación de algún programa,
y podrían darse casos de reactivación de la dll en sistemas en
funcionamiento que se han visto afectados, haciendo que el ataque
tuviera éxito. Además, puede que existan otras vías de ataque contra
la función Escape() de gdi32.dll. Hasta que haya un parche de
Microsoft disponible, recomendamos utilizar el extraoficial además de
desactivar shimgvw.dll.

- ¿Debería simplemente borrar la DLL?

Podría no ser mala idea, pero la protección de archivos de Microsoft
probablemente la reemplazará. Debería desactivar la función de
protección de archivos primero. Además, cuando el parche definitivo
esté disponible necesitará reemplazar la DLL. Renombrarla, en lugar
de borrarla, es probablemente una opción mejor, de manera que siga
disponible para cuando se instale el parche.

- ¿Debería simplemente bloquear los archivos WMF?

Podría ayudar, pero no es suficiente. Los archivos WMF se identifican
por una cabecera especial y no se necesita la extensión. Los archivos
podrían llegar con una extensión diferente, sin extensión, o incluso
embebidos en documentos Word o de otro tipo.

- ¿Qué es DEP (Protección contra ejecución de datos) y cómo puede
ayudarme?

Con Windows XP SP2, Microsoft presentó DEP. Protege contra una amplia
gama de ataques, evitando que se puedan ejecutar programas desde
"segmentos de datos". Sin embargo, para funcionar necesita soporte
por parte del hardware. Algunos procesadores, como los de 64 bit de
AMD, proporcionan protección DEP completa y evitarán el ataque.

- ¿Cómo son de eficaces los antivirus para detectar el ataque?

En este momento estamos al corriente de que existen versiones del
ataque que no detectan los antivirus, aunque esperamos que los
fabricantes se pondrán al día rápidamente. Sin embargo, puede ser una
dura batalla. Sistemas antivirus actualizados son necesarios pero es
probable que no sean suficientes.

- ¿Cómo podría entrar en mi sistema un archivo WMF malicioso?

Hay demasiadas vías como para mencionarlas todas. Archivos adjuntos
de correo electrónico, páginas web y mensajería instantánea son las
fuentes más probables. No olvide además las redes P2P y otras fuentes.

- ¿Es suficiente con advertir a mis usuarios para que no visiten
páginas web que no sean de confianza?

No. Ayuda pero no es en absoluto suficiente. Hemos visto al menos un
web de confianza comprometido (knoppix-std.org). Como parte del
ataque se añadió un "frame" que redirigía a los usuarios a un archivo
WMF corrompido. Se han utilizado sitios web "de confianza" de formas
similares en el pasado.

- ¿Cuál es en realidad el problema con los archivos WMF?

Los archivos WMF son algo diferentes de otros formatos de imagen. En
lugar de contener simplemente pixels y colores los archivos WMF
pueden llamar a subprogramas externos. Una de esas llamadas puede
utilizarse para ejecutar código.

- ¿Debería usar algo similar a "dropmyrights" para reducir el impacto
de la vulnerabilidad?

Definitivamente, sí. Además, evite trabajar como administrador para
el trabajo del día a día. Sin embargo, esto solamente reducirá el
impacto de la vulnerabilidad y no evitará que se pueda explotar.
Además, visitar una página web es solamente una de las formas
posibles de activar el ataque. Si la imagen queda almacenada en su
sistema y posteriormente es visualizada por un administrador, podría
verse afectado.

- ¿Son vulnerables mis servidores?

Quizás. ¿Permite que se almacenen imágenes? ¿Correo electrónico? ¿Se
generan índices de esas imágenes? ¿Utiliza en ocasiones un navegador
web para acceder al servidor? En resumen: si alguien puede copiar una
imagen a su servidor, y alguna DLL la examina, su servidor puede muy
bien ser vulnerable.

- ¿Qué puedo hacer en el perímetro para proteger mi red?

No mucho. ¿Un proxy que elimine todas las imágenes de las páginas
web? Probablemente no siente muy bien a sus usuarios. Al menos
bloquee las imágenes .WMF (lea más arriba sobre las extensiones). Si
su proxy tiene algún tipo de antivirus, podría proteger algo. Lo
mismo se aplica a los servidores de correo. Cuanto más limite la
capacidad de sus usuarios para conectarse al exterior, mejor. Una
monitorización cuidadosa de las estaciones de trabajo de los usuarios
puede ayudar a obtener indicios de que una estación está comprometida.

- ¿Puedo utilizar un IDS (detector de intrusos) para detectar el ataque?

Casi todos los fabricantes de IDSs están trabajando en las firmas.
Póngase en contacto con el suyo para conocer los detalles.
bleedingsnort.org está actualizando algunas firmas de forma
permanente para usuarios de Snort.

- Si me veo afectado, ¿qué puedo hacer?

No mucho :-(. Depende mucho de la versión exacta del ataque que le
haya afectado. La mayor parte de ellas descargarán componentes
adicionales. Puede ser muy difícil, incluso imposible, encontrar
todos los componentes. Microsoft ofrece un soporte gratuito para
casos como éste en el número 1-866-727-2389.

- ¿Ha dicho algo Microsoft al respecto?

http://www.microsoft.com/technet/security/advisory/912840.mspx (en
inglés) pero no hay aún un parche disponible.

- ¿Qué ha publicado el CERT?

(en inglés)
http://www.kb.cert.org/vuls/id/181038
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-4560