fbpx
Wikipedia

Vulnerabilidad del metarchivo de Windows

Agosto 31, 2021

El texto que sigue es una traducción defectuosa. Si quieres colaborar con Wikipedia, busca el artículo original y mejora esta traducción.
Copia y pega el siguiente código en la página de discusión del autor de este artículo: {{subst:Aviso mal traducido|Vulnerabilidad del metarchivo de Windows}} ~~~~

La vulnerabilidad del metarchivo de Windows, también llamada ejecución de código de imagen del metarchivo y abreviada M CE, es una vulnerabilidad de seguridad en la forma en que algunas versiones del sistema operativo Microsoft Windows manejan imágenes en el formato de metarchivo de Windows. Permite que se ejecute código arbitrario en las computadoras afectadas sin el permiso de sus usuarios. Fue descubierto el 27 de diciembre de 2005 y los primeros informes de las computadoras afectadas se anunciaron en 24 horas. Microsoft lanzó una actualización de alta prioridad para eliminar esta vulnerabilidad a través de Windows Update el 5 de enero de 2006. Los ataques que usan esta vulnerabilidad se conocen como vulnerabilidades de WMF.

La vulnerabilidad se encontraba en gdi32.dll y existía en todas las versiones de Microsoft Windows desde Windows 3.0 a Windows Server 2003 R2. Sin embargo, los vectores de ataque solo existen en versiones basadas en NT de Windows (Windows NT, Windows 2000, Windows XP y Windows Server 2003). Los exploits que aprovechan la vulnerabilidad en los sistemas basados ​​en Windows NT facilitaron la propagación de varios tipos de malware, generalmente a través de descargas directas.

Debido al impacto extremo, este error ganó el Premio Pwnie 2007 por "Mass 0wnage" y "Breaking the Internet".

Sistemas Afectados

Todas las versiones del sistema operativo Microsoft Windows admiten el estándar de gráficos de metarchivo de Windows. Todas las versiones de Windows 3.0 a Windows Server 2003 R2 contienen este defecto de seguridad. Sin embargo, Windows NT 4.0 y Windows XP, a menos que estén parchados, son más vulnerables que las versiones anteriores porque su instalación predeterminada permite la ejecución del código de metarchivo de Windows, la fuente de la vulnerabilidad. Las versiones posteriores de Windows no tienen esta vulnerabilidad.

Según el experto en seguridad del ordenador, Steve Gibson, Ventanas NT 4 es vulnerable y está disponible en la imagen está habilitado. Sistemas operativos de Windows que no tiene un preestreno de imagen habilitado o que tiene hardware - Prevención de Ejecución de Datos Basados ​​(DEP).

Según el experto en seguridad del ordenador, Steve Gibson, Ventanas NT 4 es vulnerable y está disponible en la imagen está habilitado. Sistemas operativos Los sistemas operativos que no sean Windows (por ejemplo, macOS, Unix, Linux, etc.) no se ven afectados directamente. Sin embargo, un sistema que no sea Windows podría volverse vulnerable si ejecuta un software para ver archivos WMF de Windows. Esto podría incluir software que incorpore o clone la biblioteca de enlace dinámico (DLL) de Interfaz de Dispositivo de Gráficos (GDI) nativa de Windows o que ejecute programas de Windows o Windows a través de un emulador o capa de compatibilidad. Un sistema similar a Unix que usa Wine para emular a Windows, por ejemplo, podría ser explotado. Gibson escribió el programa MouseTrap, que su compañía distribuye como software gratuito, para detectar la vulnerabilidad del Metaarchivo de Windows en los sistemas que ejecutan emuladores de Windows y Windows. Todas las aplicaciones no tendrán que ser susceptibles a esta proeza.

La vulnerabilidad

Según valoraciones por F-Seguros, la vulnerabilidad es un defecto inherente en el diseño de WMF archivos, porque la arquitectura subyacente de tales archivos es de una era anterior, e incluye características que dejan código real para ser ejecutado siempre que un WMF abre el archivo. El propósito original de este era principalmente para manejar la anulación de trabajos de impresión durante spooling.

Según Secunia, "La vulnerabilidad se debe a un error en el manejo de los archivos de metarchivo de Windows ('.wmf') que contiene registros de 'Escape' de SETABORTPROC especialmente diseñados. Dichos registros permiten que se ejecute una función arbitraria definida por el usuario cuando se procesa un archivo WMF falla ". De acuerdo con la documentación del SDK de Windows 3.1, el escape de SETABORTPROC fue obsoleto y reemplazado por la función del mismo nombre en Windows 3.1, mucho antes de que se descubriera la vulnerabilidad de WMF. Sin embargo, el código de escape obsoleto se conservó por compatibilidad con programas de 16 bits escritos para (o al menos compatibles con Windows 3.0). Este cambio ocurrió aproximadamente al mismo tiempo que Microsoft estaba creando la reimplementación de GDI para Windows NT de 32 bits, y es probable que la vulnerabilidad haya ocurrido durante este esfuerzo.

El mecanismo de 'Escape' en cuestión permite que las aplicaciones (no los metarchivos) accedan a las funciones del dispositivo de salida que GDI aún no ha resumido, como las curvas de Bézier aceleradas por hardware, el soporte de postscript encapsulado, etc. a algunos datos de la llamada, que generalmente solo se la pasan al conductor. Debido a que la mayoría de las llamadas de Escape producen gráficos reales, se permite el mecanismo de escape general en los metarchivos, aunque se pensó poco en la posibilidad de usarlo para SETABORTPROC, los intérpretes de metarchivos no vulnerables modernos ahora verifican el código de operación contra una lista negra o lista blanca, mientras el conjunto completo de códigos de operación disponibles para el código regular que llama directamente a las funciones de escape de GDI (debido a que dicho código ya se está ejecutando de la misma manera que el código que podría hacer la llamada de GDI, no hay riesgo de seguridad en ese caso).

Vale la pena señalar que Windows de 16 bits (excepto el modo Real de Windows 3.0 que se usa con poca frecuencia) fue inmune a la vulnerabilidad porque el puntero especificado en el metarchivo solo puede apuntar a datos dentro del metarchivo, y Windows de 16 bits siempre tuvo ana completa aplicación sin datos de ejecución ordenada por la arquitectura segmentada del modo protegido de 16 bits. Windows NT para arquitecturas de CPU distintas de 32 bits x86 (como MIPS, PowerPC, Alpha, Itanium y x86_64) requirió una programación orientada al retorno para explotarlas porque esas arquitecturas carecían de la funcionalidad de no ejecución de los procesadores x86 más antiguos

La vulnerabilidad es CVE-2005-4560 en Las Vulnerabilidades Comunes y base de datos de Exposiciones, EE.UU.-CERT referencia VU # 181038 y Artículo de Base de Conocimiento de Microsoft 912840. Encendido el 28 de diciembre de 2005 y publicado públicamente por presidente Alex de la compañía Eckelberry.

Propagación e infección

Las computadoras pueden verse afectadas a través de la propagación de correos electrónicos infectados que llevan el archivo WMF pirateado como un archivo adjunto. La infección también puede resultar de:

  • Ver un sitio web en un navegador que abre automáticamente archivos WMF, en cuyo caso, cualquier código malicioso potencial puede descargarse y abrirse automáticamente. Internet Explorer, el navegador web predeterminado para todas las versiones de Microsoft Windows desde 1996 hasta Windows 10, hace esto.
  • Vista previa de un archivo infectado en el Explorador de Windows.
  • Ver un archivo de imagen infectado utilizando algunos programas vulnerables de visualización de imágenes.
  • Vista previa o abriendo correos electrónicos infectados en versiones más viejas de Microsoft Outlook y Outlook Express.
  • Indexando un disco duro que contiene un archivo infectado con Google Desktop.
  • Al hacer clic en un enlace a través de un programa de mensajería instantánea como Windows Live Messenger, AOL Instant Messenger (AIM) o Yahoo! Mensajero.

También se pueden usar otros métodos para propagar la infección. Debido a que el problema está dentro del sistema operativo, el uso de navegadores que no sean de Microsoft, como Firefox u Opera, no proporciona una protección completa. Por lo general, se solicita a los usuarios que descarguen y vean un archivo malicioso que infecte la computadora. Los archivos infectados se pueden descargar automáticamente, lo que abre la posibilidad de infección por la indexación del disco o la vista previa accidental.

Según las evaluaciones de la compañía de antivirus McAfee, la vulnerabilidad se ha utilizado para propagar el troyano de puerta trasera Bifrost. Otras formas de malware también han explotado la vulnerabilidad para entregar varias cargas útiles maliciosas.

McAfee afirma que la primera generación de tales explotaciones había sido encontrada por más del 6% de su base de clientes hasta el 31 de diciembre de 2005.

Remiendo oficial

Microsoft lanzó un parche oficial para solucionar el problema el 5 de enero de 2006. Este parche puede aplicarse en lugar de otras medidas correctivas.

El parche oficial está disponible para Windows 2000, Windows XP y Microsoft Windows Server 2003. Windows NT 4 y otros sistemas operativos más antiguos no recibieron un parche, ya que para entonces ya no eran compatibles con Microsoft. Steve Gibson declaró en su Security Now! podcast # 20, que su compañía Gibson Research Corporation haría un parche disponible para los sistemas Windows 9x si Microsoft no lo hiciera. Después de una investigación adicional, Steve Gibson declaró, en una versión posterior de Security Now! podcast # 23, que Windows 9x y ME no son vulnerables y no necesitan parches. Los usuarios de Windows 9x / ME pueden ejecutar su utilidad Mouse Trap para ver esto por sí mismos.

Paolo Monti de Future Time, el distribuidor italiano del sistema antivirus NOD32 de Eset, ha proporcionado un parche gratuito para descargar de Windows NT. El parche funciona en sistemas operativos más antiguos, pero se suministra sin garantía.

Ha habido informes de que el parche oficial se instala automáticamente, incluso cuando la Actualización automática de Windows está configurada para preguntar antes de instalar las actualizaciones descargadas automáticamente. Esto provoca un reinicio automático, que puede causar la pérdida de datos si el usuario tiene un programa abierto con cambios no guardados.

Otras medidas correctivas

Estas medidas son de interés histórico solo en los sistemas actualizados a partir del 5 de enero de 2006.

Solución

Como una solución temporal antes de que estuviera disponible un parche, el 28 de diciembre de 2005, Microsoft recomendó a los usuarios de Windows que no volvieran a registrar el archivo de biblioteca de enlace dinámico shimgvw.dll (lo que se puede hacer ejecutando el comando regsvr32.exe / u shimgvw.dll desde el menú Ejecutar o el símbolo del sistema) que invoca la vista previa de archivos de imagen y es explotado por la mayoría de estos ataques. La DLL se puede volver a registrar después de aplicar parches ejecutando regsvr32.exe shimgvw.dll. Esta solución bloquea un vector de ataque común pero no elimina la vulnerabilidad.

Parche de terceros

Ilfak Guilfanov lanzó un parche de terceros el 31 de diciembre de 2005 para desactivar temporalmente la llamada a la función vulnerable en gdi32.dll. Este parche no oficial recibió mucha publicidad debido a la falta de disponibilidad de uno oficial de Microsoft, que recibió la recomendación de SANS Institute Internet Storm Center y F-Secure. Debido a la gran cantidad de publicidad, incluido el hecho de estar indirectamente recortado, el sitio web de Guilfanov recibió más visitantes de los que podía afrontar y se suspendió el 3 de enero de 2006; El parche todavía estaba disponible para descargar desde una serie de réplicas, incluido el sitio web Internet Storm Center.

El sitio web de Guilfanov volvió a estar en línea el 4 de enero en un estado muy reducido. Ya que no proporcionaba el parche en el sitio debido a problemas de ancho de banda, la página de inicio proporcionaba una lista de réplicas donde un usuario podía descargar el parche y el verificador de vulnerabilidades asociado, y la suma de comprobación MD5 para el archivo, de modo que pudiera verificarse que El archivo descargado fue probablemente genuino.

Después de que Microsoft lanzó su parche, Guilfanov retiró el suyo.

Técnicas de reducción del riesgo

Microsoft dice que su parche elimina la funcionalidad defectuosa en GDI32 que permitió la vulnerabilidad de WMF. Para las computadoras que ejecutan una versión sin parchar de Windows, se recomienda un enfoque de defensa en profundidad, para mitigar el riesgo de infección. Varias fuentes han recomendado esfuerzos de mitigación que incluyen:

  • Hacer que el uso de la prevención de ejecución de datos forzada por hardware sea efectivo para todas las aplicaciones.
  • Configure la aplicación WMF predeterminada para que no sea susceptible de infección, como el Bloc de notas.
  • No utilice Internet Explorer, o al menos desactive las descargas al establecer la configuración de seguridad predeterminada en alta.
  • Mantenga todo el software antivirus actualizado. Considere actualizaciones manuales frecuentes.
  • Bloquee todos los archivos WMF en el perímetro de la red mediante el filtrado del encabezado de archivo.
  • Hacer uso de las cuentas de los usuarios que se configuran con los derechos de usuario que se requieren.
  • Desactive la carga de imágenes en Internet Explorer y en todos los demás navegadores.
  • Deshabilita la carga de imágenes en Outlook Express.
  • Deshabilita hipervínculos MSN Messenger.
  • Deshabilite el servicio de indexación en Windows 2000, Windows XP y Windows Server 2003.
  • Desactive las aplicaciones de Búsqueda de escritorio, como Google Desktop o Búsqueda de escritorio de Windows, hasta que se corrija el problema.

De acuerdo con este artículo del SANS Institute Internet Storm Center, el uso de un navegador web que no sea Internet Explorer puede ofrecer una protección adicional contra esta vulnerabilidad. Dependiendo de la configuración, estos navegadores pueden preguntarle al usuario antes de abrir una imagen con la extensión .wmf, pero esto solo reduce la posibilidad de abrir el Metarchivo de Windows creado con fines malintencionados, y no protege contra la vulnerabilidad que se explota, ya que estos navegadores aún abren el metarchivo. Si se está haciendo pasar por otro formato. Es mejor desactivar por completo la carga de imágenes en cualquier navegador utilizado.

Acusaciones

En 2006, Steve Gibson sugirió que la naturaleza peculiar del 'error' era una indicación de que la vulnerabilidad era en realidad una puerta trasera diseñada intencionalmente en el sistema. La acusación se convirtió en una afirmación y se extendió por Internet como un rumor después de que el sitio web de noticias de tecnología Slashdot recogió la especulación de Gibson. El rumor fue ampliamente desacreditado y Thomas Greene, al escribir en The Register, atribuyó el error de Gibson a "su falta de experiencia en seguridad" y lo llamó un "experto en popinjay".

Notas

  1. ^  Security Watch: Iniquitous Images Imperil the Internet!, Larry Seltzer, PC Magazine.
  2. ^A Description of the Image Preview Feature in Windows Millennium Edition, Microsoft.
  3. sunbeltblog.blogspot.com Microsoft clarifies DEP issue
  4. ^ Library for non-Windows operating systems to run WMF files.
  5. ^ Linux/BSD still exposed to WMF exploit through WINE, ZDNet.
  6. ^ It's not a bug, it's a feature, F-Secure.
  7. ^ Proeza-WMF, por McAfee
  8. ^ Microsoft Security Advisory (912840) - Vulnerability in Graphics Rendering Engine Could Allow Remote Code Execution, Microsoft Official Advisory on the vulnerability.
  9. ^ http://www.hexblog.com/2005/12/wmf_vuln.html, unofficial patch by Ilfak Guilfanov.
  10. ^ Trustworthy Computing, SANS Institute Internet Storm Center.
  11. ^ Ilfak to the rescue!, F-Secure.
  12. ^ Trustworthy Computing, Slashdot. Linking to SANS Institute Internet Storm Center's article titled Trustworthy Computing (see above).
  13. ^ .MSI Archivo de instalador para WMF el defecto disponible, SANS Centro de Tormenta de Internet de Instituto.
  14. ^ How to Configure Memory Protection in Windows XP SP2, software-enforced Data Execution Prevention (DEP) feature in Microsoft Windows XP SP 2.
  15. ^ How to improve browsing performance in Internet Explorer (KB153790), Microsoft.
  16. ^ Images are blocked when you open an e-mail message in Outlook Express on a Windows XP Service Pack 2-based computer (KB843018), Microsoft.
  17. ^ http://www.nod32.ch/en/download/tools.php Unofficial WMF patch by Paolo Monti distributed by ESET.
  18. ^ http://blogs.securiteam.com/index.php/archives/210 Unofficial Windows 98SE patch by Tom Walsh.

Referencias

Enlaces externos

  • GRC M.I.C.E. Metafile Ejecución de Código de la imagen
  • Boletín de Seguridad del Microsoft para Usuarios de Casa del novato
  • SEÑORA de Boletín de Seguridad de Microsoft08-021
  • SEÑORA de Boletín de Seguridad de Microsoft06-001
  • WMF FAQ - SANS Centro de Tormenta de Internet de instituto
  • Defecto de Seguridad del Windows Es esevere' - Correo de Washington
  • Windows de Microsoft WMF "SETABORTPROC" Ejecución de Código Arbitrario - Secunia aconsejable
  • Mirando en el WMF asunto, cómo consiga allí? - Centro de Respuesta de Seguridad de Microsoft Blog
  • La proeza nueva liberada para el WMF vulnerabilidad - SANS Centro de Tormenta de Internet de Instituto
  • Ser prudente con WMF archivos - F-Seguros
  • Lotus Nota Vulnerable a WMF Proeza de 0 Días - SANS Centro de Tormenta de Internet de Instituto
  • Vulnerabilidad Checker - Ilfak Guilfanov
  • - Metasploit Proyecto
  • Páginas de Red de Desarrollador de Microsoft para Escapada y SetAbortProc
  • Mark Russinovich Comentario Técnico en el Backdoor Controversia
  •   Datos: Q3549876

Agosto 31, 2021
vulnerabilidad, metarchivo, windows, texto, sigue, traducción, defectuosa, quieres, colaborar, wikipedia, busca, artículo, original, mejora, esta, traducción, copia, pega, siguiente, código, página, discusión, autor, este, artículo, subst, aviso, traducido, vu. El texto que sigue es una traduccion defectuosa Si quieres colaborar con Wikipedia busca el articulo original y mejora esta traduccion Copia y pega el siguiente codigo en la pagina de discusion del autor de este articulo subst Aviso mal traducido Vulnerabilidad del metarchivo de Windows La vulnerabilidad del metarchivo de Windows tambien llamada ejecucion de codigo de imagen del metarchivo y abreviada M CE es una vulnerabilidad de seguridad en la forma en que algunas versiones del sistema operativo Microsoft Windows manejan imagenes en el formato de metarchivo de Windows Permite que se ejecute codigo arbitrario en las computadoras afectadas sin el permiso de sus usuarios Fue descubierto el 27 de diciembre de 2005 y los primeros informes de las computadoras afectadas se anunciaron en 24 horas Microsoft lanzo una actualizacion de alta prioridad para eliminar esta vulnerabilidad a traves de Windows Update el 5 de enero de 2006 Los ataques que usan esta vulnerabilidad se conocen como vulnerabilidades de WMF La vulnerabilidad se encontraba en gdi32 dll y existia en todas las versiones de Microsoft Windows desde Windows 3 0 a Windows Server 2003 R2 Sin embargo los vectores de ataque solo existen en versiones basadas en NT de Windows Windows NT Windows 2000 Windows XP y Windows Server 2003 Los exploits que aprovechan la vulnerabilidad en los sistemas basados en Windows NT facilitaron la propagacion de varios tipos de malware generalmente a traves de descargas directas Debido al impacto extremo este error gano el Premio Pwnie 2007 por Mass 0wnage y Breaking the Internet Indice 1 Sistemas Afectados 2 La vulnerabilidad 3 Propagacion e infeccion 4 Remiendo oficial 5 Otras medidas correctivas 5 1 Solucion 5 2 Parche de terceros 5 3 Tecnicas de reduccion del riesgo 6 Acusaciones 7 Notas 8 Referencias 9 Enlaces externosSistemas Afectados EditarTodas las versiones del sistema operativo Microsoft Windows admiten el estandar de graficos de metarchivo de Windows Todas las versiones de Windows 3 0 a Windows Server 2003 R2 contienen este defecto de seguridad Sin embargo Windows NT 4 0 y Windows XP a menos que esten parchados son mas vulnerables que las versiones anteriores porque su instalacion predeterminada permite la ejecucion del codigo de metarchivo de Windows la fuente de la vulnerabilidad Las versiones posteriores de Windows no tienen esta vulnerabilidad Segun el experto en seguridad del ordenador Steve Gibson Ventanas NT 4 es vulnerable y esta disponible en la imagen esta habilitado Sistemas operativos de Windows que no tiene un preestreno de imagen habilitado o que tiene hardware Prevencion de Ejecucion de Datos Basados DEP Segun el experto en seguridad del ordenador Steve Gibson Ventanas NT 4 es vulnerable y esta disponible en la imagen esta habilitado Sistemas operativos Los sistemas operativos que no sean Windows por ejemplo macOS Unix Linux etc no se ven afectados directamente Sin embargo un sistema que no sea Windows podria volverse vulnerable si ejecuta un software para ver archivos WMF de Windows Esto podria incluir software que incorpore o clone la biblioteca de enlace dinamico DLL de Interfaz de Dispositivo de Graficos GDI nativa de Windows o que ejecute programas de Windows o Windows a traves de un emulador o capa de compatibilidad Un sistema similar a Unix que usa Wine para emular a Windows por ejemplo podria ser explotado Gibson escribio el programa MouseTrap que su compania distribuye como software gratuito para detectar la vulnerabilidad del Metaarchivo de Windows en los sistemas que ejecutan emuladores de Windows y Windows Todas las aplicaciones no tendran que ser susceptibles a esta proeza La vulnerabilidad EditarSegun valoraciones por F Seguros la vulnerabilidad es un defecto inherente en el diseno de WMF archivos porque la arquitectura subyacente de tales archivos es de una era anterior e incluye caracteristicas que dejan codigo real para ser ejecutado siempre que un WMF abre el archivo El proposito original de este era principalmente para manejar la anulacion de trabajos de impresion durante spooling Segun Secunia La vulnerabilidad se debe a un error en el manejo de los archivos de metarchivo de Windows wmf que contiene registros de Escape de SETABORTPROC especialmente disenados Dichos registros permiten que se ejecute una funcion arbitraria definida por el usuario cuando se procesa un archivo WMF falla De acuerdo con la documentacion del SDK de Windows 3 1 el escape de SETABORTPROC fue obsoleto y reemplazado por la funcion del mismo nombre en Windows 3 1 mucho antes de que se descubriera la vulnerabilidad de WMF Sin embargo el codigo de escape obsoleto se conservo por compatibilidad con programas de 16 bits escritos para o al menos compatibles con Windows 3 0 Este cambio ocurrio aproximadamente al mismo tiempo que Microsoft estaba creando la reimplementacion de GDI para Windows NT de 32 bits y es probable que la vulnerabilidad haya ocurrido durante este esfuerzo El mecanismo de Escape en cuestion permite que las aplicaciones no los metarchivos accedan a las funciones del dispositivo de salida que GDI aun no ha resumido como las curvas de Bezier aceleradas por hardware el soporte de postscript encapsulado etc a algunos datos de la llamada que generalmente solo se la pasan al conductor Debido a que la mayoria de las llamadas de Escape producen graficos reales se permite el mecanismo de escape general en los metarchivos aunque se penso poco en la posibilidad de usarlo para SETABORTPROC los interpretes de metarchivos no vulnerables modernos ahora verifican el codigo de operacion contra una lista negra o lista blanca mientras el conjunto completo de codigos de operacion disponibles para el codigo regular que llama directamente a las funciones de escape de GDI debido a que dicho codigo ya se esta ejecutando de la misma manera que el codigo que podria hacer la llamada de GDI no hay riesgo de seguridad en ese caso Vale la pena senalar que Windows de 16 bits excepto el modo Real de Windows 3 0 que se usa con poca frecuencia fue inmune a la vulnerabilidad porque el puntero especificado en el metarchivo solo puede apuntar a datos dentro del metarchivo y Windows de 16 bits siempre tuvo ana completa aplicacion sin datos de ejecucion ordenada por la arquitectura segmentada del modo protegido de 16 bits Windows NT para arquitecturas de CPU distintas de 32 bits x86 como MIPS PowerPC Alpha Itanium y x86 64 requirio una programacion orientada al retorno para explotarlas porque esas arquitecturas carecian de la funcionalidad de no ejecucion de los procesadores x86 mas antiguosLa vulnerabilidad es CVE 2005 4560 en Las Vulnerabilidades Comunes y base de datos de Exposiciones EE UU CERT referencia VU 181038 y Articulo de Base de Conocimiento de Microsoft 912840 Encendido el 28 de diciembre de 2005 y publicado publicamente por presidente Alex de la compania Eckelberry Propagacion e infeccion EditarLas computadoras pueden verse afectadas a traves de la propagacion de correos electronicos infectados que llevan el archivo WMF pirateado como un archivo adjunto La infeccion tambien puede resultar de Ver un sitio web en un navegador que abre automaticamente archivos WMF en cuyo caso cualquier codigo malicioso potencial puede descargarse y abrirse automaticamente Internet Explorer el navegador web predeterminado para todas las versiones de Microsoft Windows desde 1996 hasta Windows 10 hace esto Vista previa de un archivo infectado en el Explorador de Windows Ver un archivo de imagen infectado utilizando algunos programas vulnerables de visualizacion de imagenes Vista previa o abriendo correos electronicos infectados en versiones mas viejas de Microsoft Outlook y Outlook Express Indexando un disco duro que contiene un archivo infectado con Google Desktop Al hacer clic en un enlace a traves de un programa de mensajeria instantanea como Windows Live Messenger AOL Instant Messenger AIM o Yahoo Mensajero Tambien se pueden usar otros metodos para propagar la infeccion Debido a que el problema esta dentro del sistema operativo el uso de navegadores que no sean de Microsoft como Firefox u Opera no proporciona una proteccion completa Por lo general se solicita a los usuarios que descarguen y vean un archivo malicioso que infecte la computadora Los archivos infectados se pueden descargar automaticamente lo que abre la posibilidad de infeccion por la indexacion del disco o la vista previa accidental Segun las evaluaciones de la compania de antivirus McAfee la vulnerabilidad se ha utilizado para propagar el troyano de puerta trasera Bifrost Otras formas de malware tambien han explotado la vulnerabilidad para entregar varias cargas utiles maliciosas McAfee afirma que la primera generacion de tales explotaciones habia sido encontrada por mas del 6 de su base de clientes hasta el 31 de diciembre de 2005 Remiendo oficial EditarMicrosoft lanzo un parche oficial para solucionar el problema el 5 de enero de 2006 Este parche puede aplicarse en lugar de otras medidas correctivas El parche oficial esta disponible para Windows 2000 Windows XP y Microsoft Windows Server 2003 Windows NT 4 y otros sistemas operativos mas antiguos no recibieron un parche ya que para entonces ya no eran compatibles con Microsoft Steve Gibson declaro en su Security Now podcast 20 que su compania Gibson Research Corporation haria un parche disponible para los sistemas Windows 9x si Microsoft no lo hiciera Despues de una investigacion adicional Steve Gibson declaro en una version posterior de Security Now podcast 23 que Windows 9x y ME no son vulnerables y no necesitan parches Los usuarios de Windows 9x ME pueden ejecutar su utilidad Mouse Trap para ver esto por si mismos Paolo Monti de Future Time el distribuidor italiano del sistema antivirus NOD32 de Eset ha proporcionado un parche gratuito para descargar de Windows NT El parche funciona en sistemas operativos mas antiguos pero se suministra sin garantia Ha habido informes de que el parche oficial se instala automaticamente incluso cuando la Actualizacion automatica de Windows esta configurada para preguntar antes de instalar las actualizaciones descargadas automaticamente Esto provoca un reinicio automatico que puede causar la perdida de datos si el usuario tiene un programa abierto con cambios no guardados Otras medidas correctivas EditarEstas medidas son de interes historico solo en los sistemas actualizados a partir del 5 de enero de 2006 Solucion Editar Como una solucion temporal antes de que estuviera disponible un parche el 28 de diciembre de 2005 Microsoft recomendo a los usuarios de Windows que no volvieran a registrar el archivo de biblioteca de enlace dinamico shimgvw dll lo que se puede hacer ejecutando el comando regsvr32 exe u shimgvw dll desde el menu Ejecutar o el simbolo del sistema que invoca la vista previa de archivos de imagen y es explotado por la mayoria de estos ataques La DLL se puede volver a registrar despues de aplicar parches ejecutando regsvr32 exe shimgvw dll Esta solucion bloquea un vector de ataque comun pero no elimina la vulnerabilidad Parche de terceros Editar Ilfak Guilfanov lanzo un parche de terceros el 31 de diciembre de 2005 para desactivar temporalmente la llamada a la funcion vulnerable en gdi32 dll Este parche no oficial recibio mucha publicidad debido a la falta de disponibilidad de uno oficial de Microsoft que recibio la recomendacion de SANS Institute Internet Storm Center y F Secure Debido a la gran cantidad de publicidad incluido el hecho de estar indirectamente recortado el sitio web de Guilfanov recibio mas visitantes de los que podia afrontar y se suspendio el 3 de enero de 2006 El parche todavia estaba disponible para descargar desde una serie de replicas incluido el sitio web Internet Storm Center El sitio web de Guilfanov volvio a estar en linea el 4 de enero en un estado muy reducido Ya que no proporcionaba el parche en el sitio debido a problemas de ancho de banda la pagina de inicio proporcionaba una lista de replicas donde un usuario podia descargar el parche y el verificador de vulnerabilidades asociado y la suma de comprobacion MD5 para el archivo de modo que pudiera verificarse que El archivo descargado fue probablemente genuino Despues de que Microsoft lanzo su parche Guilfanov retiro el suyo Tecnicas de reduccion del riesgo Editar Microsoft dice que su parche elimina la funcionalidad defectuosa en GDI32 que permitio la vulnerabilidad de WMF Para las computadoras que ejecutan una version sin parchar de Windows se recomienda un enfoque de defensa en profundidad para mitigar el riesgo de infeccion Varias fuentes han recomendado esfuerzos de mitigacion que incluyen Hacer que el uso de la prevencion de ejecucion de datos forzada por hardware sea efectivo para todas las aplicaciones Configure la aplicacion WMF predeterminada para que no sea susceptible de infeccion como el Bloc de notas No utilice Internet Explorer o al menos desactive las descargas al establecer la configuracion de seguridad predeterminada en alta Mantenga todo el software antivirus actualizado Considere actualizaciones manuales frecuentes Bloquee todos los archivos WMF en el perimetro de la red mediante el filtrado del encabezado de archivo Hacer uso de las cuentas de los usuarios que se configuran con los derechos de usuario que se requieren Desactive la carga de imagenes en Internet Explorer y en todos los demas navegadores Deshabilita la carga de imagenes en Outlook Express Deshabilita hipervinculos MSN Messenger Deshabilite el servicio de indexacion en Windows 2000 Windows XP y Windows Server 2003 Desactive las aplicaciones de Busqueda de escritorio como Google Desktop o Busqueda de escritorio de Windows hasta que se corrija el problema De acuerdo con este articulo del SANS Institute Internet Storm Center el uso de un navegador web que no sea Internet Explorer puede ofrecer una proteccion adicional contra esta vulnerabilidad Dependiendo de la configuracion estos navegadores pueden preguntarle al usuario antes de abrir una imagen con la extension wmf pero esto solo reduce la posibilidad de abrir el Metarchivo de Windows creado con fines malintencionados y no protege contra la vulnerabilidad que se explota ya que estos navegadores aun abren el metarchivo Si se esta haciendo pasar por otro formato Es mejor desactivar por completo la carga de imagenes en cualquier navegador utilizado Acusaciones EditarEn 2006 Steve Gibson sugirio que la naturaleza peculiar del error era una indicacion de que la vulnerabilidad era en realidad una puerta trasera disenada intencionalmente en el sistema La acusacion se convirtio en una afirmacion y se extendio por Internet como un rumor despues de que el sitio web de noticias de tecnologia Slashdot recogio la especulacion de Gibson El rumor fue ampliamente desacreditado y Thomas Greene al escribir en The Register atribuyo el error de Gibson a su falta de experiencia en seguridad y lo llamo un experto en popinjay Notas Editar Security Watch Iniquitous Images Imperil the Internet Larry Seltzer PC Magazine A Description of the Image Preview Feature in Windows Millennium Edition Microsoft sunbeltblog blogspot com Microsoft clarifies DEP issue Library for non Windows operating systems to run WMF files Linux BSD still exposed to WMF exploit through WINE ZDNet It s not a bug it s a feature F Secure Proeza WMF por McAfee Microsoft Security Advisory 912840 Vulnerability in Graphics Rendering Engine Could Allow Remote Code Execution Microsoft Official Advisory on the vulnerability http www hexblog com 2005 12 wmf vuln html unofficial patch by Ilfak Guilfanov Trustworthy Computing SANS Institute Internet Storm Center Ilfak to the rescue F Secure Trustworthy Computing Slashdot Linking to SANS Institute Internet Storm Center s article titled Trustworthy Computing see above MSI Archivo de instalador para WMF el defecto disponible SANS Centro de Tormenta de Internet de Instituto How to Configure Memory Protection in Windows XP SP2 software enforced Data Execution Prevention DEP feature in Microsoft Windows XP SP 2 How to improve browsing performance in Internet Explorer KB153790 Microsoft Images are blocked when you open an e mail message in Outlook Express on a Windows XP Service Pack 2 based computer KB843018 Microsoft http www nod32 ch en download tools php Unofficial WMF patch by Paolo Monti distributed by ESET http blogs securiteam com index php archives 210 Unofficial Windows 98SE patch by Tom Walsh Referencias EditarEnlaces externos EditarGRC M I C E Metafile Ejecucion de Codigo de la imagen Boletin de Seguridad del Microsoft para Usuarios de Casa del novato SENORA de Boletin de Seguridad de Microsoft08 021 SENORA de Boletin de Seguridad de Microsoft06 001 WMF FAQ SANS Centro de Tormenta de Internet de instituto Defecto de Seguridad del Windows Es esevere Correo de Washington Windows de Microsoft WMF SETABORTPROC Ejecucion de Codigo Arbitrario Secunia aconsejable Resumen de estado cuando de 1 enero Mirando en el WMF asunto como consiga alli Centro de Respuesta de Seguridad de Microsoft Blog La proeza nueva liberada para el WMF vulnerabilidad SANS Centro de Tormenta de Internet de Instituto Ser prudente con WMF archivos F Seguros Lotus Nota Vulnerable a WMF Proeza de 0 Dias SANS Centro de Tormenta de Internet de Instituto Vulnerabilidad Checker Ilfak Guilfanov Proeza de ejemplo Metasploit Proyecto Paginas de Red de Desarrollador de Microsoft para Escapada y SetAbortProc Mark Russinovich Comentario Tecnico en el Backdoor Controversia Datos Q3549876Obtenido de https es wikipedia org w index php title Vulnerabilidad del metarchivo de Windows amp oldid 133572817, wikipedia, wiki, leyendo, leer, libro, biblioteca,

español

, española, descargar, gratis, descargar gratis, mp3, video, mp4, 3gp, jpg, jpeg, gif, png, imagen, música, canción, película, libro, juego, juegos