Microsoft ha confirmado una vulnerabilidad que afecta a diversas versiones de Windows, y que puede ser explotada a través de archivos .ANI.
La extensión .ANI corresponde a los cursores e iconos animados de Windows (Windows Animated Cursor), que consisten en una cantidad determinada de cuadros (imágenes diferentes).
02-04-2007 - La vulnerabilidad se produce por un desbordamiento de pila, cuando Windows procesa archivos .ANI mal formados, en los cuáles la información de referencia en sus cabezales ha sido alterada.
Un atacante puede provocar un fallo en forma remota, a través de un archivo .ANI en una página Web maliciosa o desde un correo electrónico, de modo tal que el kernel de Windows calcule una dirección errónea para acceder a un cuadro y entonces falle, provocando la ejecución de código.
Se han detectado exploits activos, que descargan y ejecutan diferentes troyanos desde Internet. Los exploits reportados hasta el momento, son interceptados por NOD32, e identificados como Win32/TrojanDownloader.Ani.G.
Microsoft ha publicado un aviso de seguridad (Microsoft Security Advisory), identificado como 935423, donde confirma la existencia del exploit, y se refiere al problema que causa esta vulnerabilidad.
La ejecución de código mediante este exploit, se realiza con los mismos privilegios del usuario actual.
La vulnerabilidad afecta a las siguientes versiones de sistemas operativos soportados actualmente por Microsoft:
- Microsoft Windows 2000 Service Pack 4
- Microsoft Windows XP Service Pack 2
- Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium)
- Microsoft Windows XP Professional x64 Edition
- Microsoft Windows Server 2003
- Microsoft Windows Server 2003 (Itanium)
- Microsoft Windows Server 2003 Service Pack 1
- Microsoft Windows Server 2003 Service Pack 2
- Microsoft Windows Server 2003 con SP1 (Itanium)
- Microsoft Windows Server 2003 con SP2 (Itanium)
- Microsoft Windows Server 2003 x64 Edition
- Microsoft Windows Vista
Explotación de la vulnerabilidad
El exploit puede actuar en cualquiera de estos escenarios:
1. Al visualizar una página con un navegador (no solo Internet Explorer)
2. Al leer un correo electrónico
3. Al abrir una carpeta local con el explorador de Windows (configuración por defecto)
En los casos 1 y 2, puede ejecutarse un código malicioso, pero no en el caso 3, donde solo se produce una denegación de servicio (Windows deja de responder o entra en un bucle mostrando un mensaje de error una y otra vez).
En el primer escenario, el exploit puede actuar tanto al visualizar una página web utilizando Microsoft Internet Explorer como Mozilla Firefox (otros navegadores pueden estar también afectados). Según Microsoft, Internet Explorer 7.0 en modo protegido, no es afectado por el exploit, o al menos no puede ejecutarse el código embebido.
En el segundo escenario, aunque Microsoft aconsejó al comienzo como medida para mitigar los efectos del problema, leer el correo electrónico como texto sin formato, una lista publicada por el Internet Storm Center (ISC), del SANS Institute, muestra como la vulnerabilidad puede ser explotada en varios clientes de correo, a pesar de que el usuario tome esa precaución.
En concreto, el exploit puede ejecutarse al leer un correo en los siguientes programas y condiciones:
1. Al abrir un correo con la configuración por defecto (formato, etc.):
Son vulnerables:
- Windows XP Outlook Express
- Windows Vista Mail
- Microsoft Outlook 2003
2. Al leer un correo en el panel de vista previa:
Son vulnerables:
- Windows XP Outlook Express
- Windows Vista Mail
- Microsoft Outlook 2003
3. Al abrir un correo en formato solo texto:
Es vulnerable:
- Windows XP Outlook Express
4. Al responder o reenviar un correo, aún con la opción leer en formato solo texto activa:
Son vulnerables:
- Windows XP Outlook Express
- Windows Vista Mail
Consideraciones
Los usuarios de Outlook 2007 están protegidos, sin importar si se leen los mensajes como texto sin formato o no.
Leer el correo electrónico como texto sin formato si se utiliza Outlook 2002 o posterior, o Windows Mail, puede ayudar a protegerlo. Sin embargo, en Windows Mail (Windows Vista), aún al leer texto sin formato, el usuario no está protegido si responde o reenvía el mensaje recibido del atacante.
Leer el correo como texto sin formato en Outlook Express, no mitiga los intentos para explotar esta vulnerabilidad.
Otros clientes de correo como Thunderbird, también son vulnerables, aún cuando se utilice la lectura en texto plano, si se hace clic sobre los enlaces.
Según la información actualmente disponible, la vulnerabilidad no puede ser mitigada bloqueando la descarga de archivos .ANI, ya que incluso existen archivos renombrados (como .JPEG, etc.), que pueden igualmente ejecutar el exploit.
Además, es importante destacar que Windows Explorer (el Explorador de Windows), puede procesar archivos .ANI con diferentes extensiones, por ejemplo .CUR, .ICO, etc.
No existe parche oficial al momento actual, a pesar de que el fallo fue reportado privadamente a Microsoft en diciembre de 2006, por la compañía de seguridad Determina (ver "Referencias"). Sin embargo, no se conocía ningún exploit activo hasta ahora (marzo de 2007).
El exploit es considerado un Zero Day (Día cero), basándonos en la definición más aceptada por los profesionales de la seguridad. Así, definimos como "Zero Day", a cualquier exploit que no haya sido mitigado por un parche del vendedor.
Parche oficial
[02/04/07] - Microsoft anunció este domingo, que un boletín de seguridad con el parche correspondiente, sería publicado el martes 3 de abril de 2007.
Parches no oficiales
Si bien Microsoft y la mayoría de los expertos de seguridad, aconsejan no instalar parches que no sean oficiales, el equipo de seguridad de eEye Digital ha desarrollado una herramienta que puede servir como solución temporal para aquellos usuarios que así lo deseen.
El parche temporal, previene que los cursores e iconos animados, sean cargados fuera de la carpeta de instalación de Windows. Esto inhabilita la descarga desde cualquier página de Internet, de iconos potencialmente peligrosos.
El parche debe ser desinstalado antes de aplicar la solución de Microsoft (cuando ella esté disponible).
Más información:
Windows .ANI Processing (EEYEZD-20070328)
http://research.eeye.com/html/alerts/zeroday/20070328.html
Medidas de precaución
A pesar de lo que mencionamos antes, Microsoft aconseja activar la lectura del correo electrónico como "Texto sin formato".
Para ello, tanto en Outlook Express como en Windows Mail (Windows Vista), siga las siguientes instrucciones:
1. Seleccione el menú Herramientas, Opciones, lengüeta "Leer"
2. Marque la casilla "Leer todos los mensajes como texto sin formato".
NOTA: Esta única protección no es efectiva en Outlook Express. Tampoco lo es en Windows Mail si se responde o reenvía un mensaje afectado por el exploit.
También desactive el panel de vista previa de la siguiente manera:
1. Seleccione el menú Ver, Diseño
2. Desmarque la casilla "Mostrar panel de vista previa"
En Thunderbird, abra el menú "Herramientas", "Preferencias", y en "Avanzadas", "Privacidad", "General", podrá hacer los cambios necesarios.
Más información:
http://kb.mozillazine.org/Plain_text_e-mail_%28Thunderbird%29
El exploit puede activarse también cuando se visualiza una carpeta conteniendo un HTML malicioso. Para evitar el contenido HTML en el explorador de Windows, siga estas instrucciones:
1. Abra Mi PC
2. Seleccione Herramientas, Opciones de carpetas
3. En la lengüeta "General", en Tareas, seleccione "Utilizar las carpetas clásicas de Windows".
Se recomienda precaución al recibir correos electrónicos no solicitados, así como al visitar páginas sugeridas en enlaces de mensajes que no hemos pedido.
El uso de un antivirus actualizado, es por supuesto imprescindible.
Relacionados:
TrojanDownloader.Ani.G. Utiliza archivos .ANI
http://www.vsantivirus.com/trojandownloader-ani-g.htm
Alerta Amarilla por ataques a vulnerabilidad .ANI
http://www.vsantivirus.com/01-04-07.htm
Referencias:
Microsoft Security Advisory (935423)
Vulnerability in Windows Animated Cursor Handling
http://www.microsoft.com/technet/security/advisory/935423.mspx
Microsoft Security Advisory 935423 Posted
http://blogs.technet.com/msrc/archive/2007/03/29/microsoft-security-advisory-935423-posted.aspx
Update on Microsoft Security Advisory 935423
http://blogs.technet.com/msrc/archive/2007/03/30/update-on-microsoft-security-advisory-935423.aspx
CVE-2007-0038
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0038
[Full-disclosure] 0-day ANI vulnerability in Microsoft Windows (CVE-2007-0038)
http://archives.neohapsis.com/archives/fulldisclosure/2007-03/0470.html
Vulnerability In Windows Animated Cursor Handling
http://www.determina.com/security_center/security_advisories/securityadvisory_0day_032907.asp
Microsoft Windows ANI header stack buffer overflow
http://www.us-cert.gov/cas/techalerts/TA07-089A.html
Microsoft Windows animated cursor ANI header stack buffer overflow
http://www.kb.cert.org/vuls/id/191609
Windows Animated Cursor Handling vulnerability - CVE-2007-0038
http://isc.sans.org/diary.html?storyid=2534
Ani cursor exploits against Microsoft E-mail clients - CVE-2007-0038
http://isc.sans.org/diary.html?storyid=2539
Microsoft Windows Animated Cursor Handling Vulnerability
http://secunia.com/advisories/24659
Vulnerability Summary CVE-2007-1765
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-1765
Unpatched Drive-By Exploit Found On The Web
http://www.avertlabs.com/research/blog/?p=230
Detecting and filtering out windows animated cursor exploitation attempts
http://isc.sans.org/diary.html?storyid=2540
ANI exploit code drives INFOCon to Yellow
http://isc.sans.org/diary.html?storyid=2542
Chinese Internet Security Response Team Reports ANI Worm
http://isc.sans.org/diary.html?storyid=2550
ANI: It Gets Better
http://isc.sans.org/diary.html?storyid=2551
Microsoft Windows Cursor And Icon ANI Format Handling Remote Buffer Overflow Vulnerability
http://www.securityfocus.com/bid/23194
Fuente:
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com