sábado, 31 de marzo de 2007

¿WMF bug parte 2? El drama de la vulnerabilidad en los archivos ANI

A principios del año pasado nos encontrábamos con un grave fallo en Windows que permitió la aparición de varios códigos maliciosos capaces de ejecutarse automáticamente sin interacción con el usuario.

Dicha vulnerabilidad se daba en un error en la forma en que Windows manejaba archivos gráficos del formato WMF, lo cual permitía que se pudiera ejecutar código arbitrario sólo con visualizar uno de esos archivos.

La vulnerabilidad produjo que aparecieran varios parches independientes para resolverla dada la lentitud de la respuesta de Microsoft ante el problema y la aparición de múltiples malware aprovechando el error.

Esta semana se informó de una vulnerabilidad en el manejo de otro tipo de archivos por parte de Windows, los ANI. Estos archivos, normalmente de extensión .ani, son cursores animados para el puntero del mouse (o ratón).

Microsoft ya informó que está analizando la situación pero aún no hay un parche disponible, mientras que la forma de explotar el agujero de seguridad ya ha sido publicada en Internet.

El problema aquí es que, al igual que con la vulnerabilidad en los archivos WMF, el actual agujero de seguridad en los archivos ANI puede permitir códigos maliciosos que se ejecuten sólo con que el usuario visualice una página web o un mensaje de correo electrónico. Al menos ya se ha reportado uno proveniente de China.

¿Qué hacer ante estos casos? Dado que los vectores de ataque son múltiples y podrían incluso aprovecharse a través de navegadores y/o clientes de correo que no son de Microsoft, el problema es realmente grave. Las recomendaciones de varios sitios son bastante vagas. Cosas como “no navegue por ciertos no confiables ni abra mensajes de correo no confiables”.

Mientras que esperamos el parche de Microsoft, rezando porque no tarde tanto como el de WMF, lo que podemos hacer es:

  • Si somos administradores de una red, bloquear los archivos adjuntos del tipo ANI, ya sea por extensión o por el contenido del archivo
  • Si somos usuarios, modificar la configuración de nuestro cliente de correo electrónico para que no permita la lectura de archivos en formato HTML.
  • En ambos casos, contar con un producto antivirus actualizado periódicamente y que tenga la posibilidad detectar este tipo de amenazas en forma activa.

Lo anterior no nos va a proteger en un 100 % de los casos, y es ante este tipo de situaciones cuando los usuarios nos sentimos desprotegidos, dado que hay muy poca o casi ninguna información en cómo protegernos.

Si reciben correos que no conocen, simplemente elimínenlos e intenten no navegar por sitios desconocidos. Lamentablemente, no se puede hacer mucho más con la situación actual y si queremos seguir usando Windows.

...

¡MOMENTO! Esto es realmente WMF Parte 2; la gente de eEye lanzó un parche no-oficial que funciona y corrige la vulnerabilidad; pueden descargarlo desde:

http://research.eeye.com/html/alerts/zeroday/20070328.html

:-)) ¿Otro deja vu? :-))

“is”

No hay comentarios: