Descobrixen vulnerabilitat seriosa dels arxius WMF de Microsoft Windows
4 de gener del 2006
Experts en seguretat informàtica van descobrir el dimarts de la setmana anterior (27) que els meta-arxius de Microsoft Windows (Windows Metafiles) són un vector per a virus informàtics, doncs són tractats com arxius d'imatge però alhora poden executar codi. Generalment aquests arxius poden identificar-se per l'extensió .wmf, però també poden executar-se si la seva extensió és .jpeg, .png o altra extensió comuna d'arxius d'imatge.
Aquesta vulnerabilitat afecta qualsevol programari a Microsoft Windows que mostri imatges, incloent els programes de missatgeria instantània, clients de correu electrònic i navegadors web. El navegador Mozilla Firefox redueix la vulnerabilitat al preguntar-li a l'usuari si desitja executar els .wmf, però els meta-arxius emmascarats en un altre format d'arxiu poden encara ser executats automàticament pel sistema operatiu de la companyia de Bill Gates.
A pesar de la gravetat del problema, Microsoft ha decidit esperar fins a dimarts que ve 10 de gener per a llançar un pedaç que corregeixi la vulnerabilitat. Existeix un pedaç no oficial creat per Ilfak Guilfanov, recomanat pel Internet Storm Center i altres experts, però desestimat per la companyia de Redmond: "Microsoft ha completat el desenvolupament de l'actualització de seguretat per a la vulnerabilitat. La mateixa està sent traduïda i provada per a assegurar la qualitat i la compatibilitat amb les aplicacions. La meta de Microsoft és llançar l'actualització el dimarts 10 de gener de 2006, com a part del seu llançament mensual de butlletins de seguretat".
El butlletí de seguretat de Microsoft recomana treure del registre l'arxiu shimgvw.dll per a deshabilitar el maneig dels Windows MetaFiles. No obstant això, els crítics assenyalen que aquest arxiu pot ser retornat al registre per processos maliciosos o altres instal·lacions, i suggereixen que els .wmf maliciosos poden romandre simplement "dormits" fins que shimgvw.dll sigui registrat de nou.
La vulnerabilitat ha estat aprofitada per a atacar fòrums en línia que permeten incrustar arxius d'imatge mitjançant etiquetes <img>, pel que alguns fòrums sobre jocs han recomanat deshabilitar aquestes etiquetes [1]. Qualsevol lloc que accepti pujar arxius multimèdia, com avatars, també és vulnerable si accepta arxius .wmf, possiblement amagats en altre format. Així mateix, la falla ha estat utilitzada per un "cuc" de missatgeria instantània que sembla brindar una porta per a futurs problemes mitjançant un bot de IRC. [2].
Segons l'empresa fabricadora de programes antivirus McAfee, la vulnerabilitat WMF està sent explotada per a introduir més de 30 variants del virus troià Bifrose, i és probable que programes coneguts com "malware" facin el mateix. Aquesta empresa estima que la primera generació d'aquestes explotacions hagi infectat a més del 6% de la seva base de clients per al 31 de desembre de 2005. "La vulnerabilitat de WMF probablement afecti a més ordinadors que qualsevol altra vulnerabilitat de seguretat coneguda", va afirmar Mikko de F-Secure [3].
Alan Paller, del Institut SANS, especialitzat en mètodes de seguretat per a ordinadors i que opera a l'Internet Storm Center, va criticar a Microsoft: "La tardança de Microsoft és inexcusable. No hi ha altra excusa a part d'incompetència i negligència". Per la seva banda, Luis Corrons, de PandaLabs, va assenyalar que "El descobriment d'aquest kit podria explicar la ràpida aparició de variants de malware de molt diferents famílies que exploten aquesta vulnerabilitat en els últims dies. Si bé normalment qualsevol vulnerabilitat detectada en sistemes Windows és aprofitada amb rapidesa, la versatilitat d'aquesta i l'enorme quantitat de sistemes potencialment afectats la fan molt més interessant, d'aquí la sorprenent creació d'aquesta eina", mentre que el nombre d'ordinadors infectats o almenys afectats per aquesta falla pot estar en el milió, segons Andreas Marx, de la Universitat de Magdebur, a Alemanya.
Segons la companyia espanyola Panda Software, existeix fins i tot un programa anomenat WMFMaker, el qual pot crear arxius WMF maliciosos a partir de qualsevol altre codi, el que pot fer créixer de manera exponencial el nombre d'ordinadors afectats.
Recomanacions
modificaSi bé el pedaç no oficial esmentat anteriorment remou la falla en l'arxiu gdi32, l'arrel d'aquesta vulnerabilitat segueix creixent. Aquestes són algunes recomanacions que donen els experts:
- Utilitzar la Data Execution Prevention (prevenció d'execució de dades), efectiva per a totes les aplicacions. [4]
- Configurar l'aplicació predeterminada per a arxius WMF perquè sigui un programa innocu com el Bloc de Notes.
- Desactivar les descàrregues a Internet Explorer canviant la configuració de privadesa a ALTA (Eines > Opcions d'internet > Pestanya "Privadesa").
- Mantenir actualitzats els programes antivirus. De ser necessari i si és possible, actualitzar manualment el programari.
- Bloquejar tots els arxius WMF en el perímetre de la seva xarxa mitjançant filtres.
- Utilitzar comptes d'usuari configurades amb els menors drets possibles.
- Deshabilitar la càrrega d'imatges a Internet Explorer i altres navegadors (Mozilla Firefox, Opera) *Deshabilitar la càrrega d'imatges en Outlook Express.
- Deshabilitar els enllaços al MSN Messenger.
- Deshabilitar el Microsoft Indexing Service (servei d'indexat de Microsoft) a Windows 2000, Windows XP i Windows Server 2003.
- Deshabilitar l'indexat de Google Desktop fins que el problema hagi estat corregit.
- Navegar únicament en llocs segurs i de confiança (és a dir, no ficar-se en pàgines "rares").
Segons aquest article de l'Internet Storm Center, l'ús d'un navegador diferent a IE, com Mozilla Firefox o Opera, no soluciona ni mitiga la vulnerabilitat. Encara que aquests programes poden alertar a l'usuari abans d'obrir una imatge amb extensió .wmf, això només redueix la possibilitat d'obrir l'arxiu WMF amb codi maliciós i no protegeix el teu equip contra l'explotació de la vulnerabilitat, doncs aquests navegadors obren el meta-arxiu si està emmascarat en un altre format. El millor, llavors, és deshabilitar la càrrega d'imatges en el navegador que decideixis usar.
Enllaços externs
modifica- Com protegir-se de la perillosa amenaça que afecta a Windows (InfoBAE) (en castellà)
- Windows Metafile vulnerability, Wikipedia en anglès
- F-secure's coverage of the vulnerability (en anglès)
- Viruslist.com's anaysis of the IM worm (en anglès)
- Viruslist.com's initial report (en anglès)
- Microsoft Security Advisory (912840) (en anglès)
- US-CERT Vulnerability Note VU#181038 (en anglès)
- Internet Storm Center WMF FAQ (en anglès)
Fonts
modifica- (català) Una vulnerabilidad en Windows deja la puerta abierta a los piratas — El País (Espanya). 4 de gener de 2006.
- (català) Microsoft reconoce que amenaza contra Windows es seria — InfoBAE. 3 de gener de 2006.
- (català) Brian Krebs Exploit Released for Unpatched Windows Flaw — The Washington Post. 28 de desembre de 2005.