Bugs y Exploits

- La herramienta WMFMaker genera ficheros WMF maliciosos que tratan de explotar la vulnerabilidad no parcheada en sistemas Windows

- Gracias a esta herramienta, usuarios malintencionados podrían aprovechar la vulnerabilidad para distribuir cualquier código, sean troyanos, gusanos o cualquier otro tipo de malware

- Las soluciones de seguridad de Panda Software detectan proactivamente todos los ficheros maliciosos generados por WMFMaker como Exploit/WMF.

04-01-2006 - PandaLabs ha detectado la distribución en la red de una herramienta, WMFMaker, que permite conformar ficheros WMF maliciosos a partir de cualquier otro código, lo que permite la introducción de malware en los sistemas de los usuarios, al aprovecharse de la vulnerabilidad crítica en el proceso de meta-archivos de Windows (WMF), aún no parcheada, y que afecta a todos los sistemas Windows.

Este kit de generación de ficheros WMF está preparado para ser utilizado desde la línea de comandos, incluyendo la ruta completa de la herramienta, y la del ejecutable que se desea incluir dentro del fichero WMF, y que será ejecutado en caso de aprovechar la vulnerabilidad. De este modo, se generará un fichero con extensión .wmf, y cuyo nombre varía entre “evil.wmf” o el propio nombre del ejecutable incluido en él.



“El descubrimiento de este kit podría explicar la rápida aparición de variantes de malware de muy distintas familias que explotan esta vulnerabilidad en los últimos días” afirma Luis Corrons, director de PandaLabs. “Si bien normalmente cualquier vulnerabilidad detectada en sistemas Windows es aprovechada con rapidez, la versatilidad de ésta y la enorme cantidad de sistemas potencialmente afectados la hacen mucho más interesante, de ahí la sorprendente creación de esta herramienta”.

Cabe recordar que esta vulnerabilidad podría permitir que el simple hecho de visitar una página web haga que el usuario se infecte, si ésta contiene un fichero WMF malicioso, lo que supone un punto de entrada para troyanos, gusanos y todo tipo de amenazas. La mencionada vulnerabilidad radica en el manejo que Windows hace de los archivos WMF (Windows Meta File), por lo que todas aquellas aplicaciones que puedan procesar este tipo de archivos se encuentran afectadas. Entre ellas pueden mencionarse Internet Explorer, Outlook y Windows Picture and Fax Viewer.

Para proteger sus equipos frente a esta amenaza, además de contar con soluciones antimalware capaces de bloquear los códigos que se aprovechen de esta vulnerabilidad, es recomendable des-registrar la DLL asociada con este ataque, según se indica en http://www.microsoft.com/technet/security/advisory/912840.mspx. Así mismo, y pese a que en líneas generales no es recomendable instalar parches que no provengan de la compañía responsable del producto, sería deseable instalar el parche facilitado por Ilfak Guilfanov, un prestigioso experto en sistemas Windows a bajo nivel, hasta que el original de Microsoft esté disponible. Dicho parche, probado y recomendado por SANS Internet Storm Center, puede ser encontrado en las siguientes URL: http://handlers.sans.org/tliston/wmffix_hexblog13.exe y
http://www.hexblog.com/security/files/wmffix_hexblog13.exe.

Las soluciones de seguridad de Panda Software detectan proactivamente todos los ficheros maliciosos generados por WMFMaker como Exploit/WMF. Para ayudar al mayor número de usuarios a analizar y/o desinfectar puntualmente sus equipos, Panda Software ofrece gratuitamente -en http://www.pandasoftware.es/home/default.asp - la solución antimalware online Panda ActiveScan, que ahora también detecta spyware. Además, los webmasters pueden ofrecer este mismo servicio a los visitantes de sus páginas web mediante la inclusión de un código HTML que pueden obtener gratuitamente en http://www.pandasoftware.es/partners/webmasters/

Fuente; PandaLabs