Vulnerabilidad
Zero-day de windows aún sin un parche de seguridad
Por:
Karina Saavedra O.
Actualmente
existen millones de Computadoras en riesgo por esta vulnerabilidad
de Windows, sin embargo F-Secure es capaz de detener códigos
maliciosos que utilizan esta vulnerabilidad para diseminarse.
Helsinki,
Finlandia - Diciembre 30, 2005
La vulnerabilidad
zero-day relacionada a los archivos de windows WMF (Windows Metafiles)
se reportó por primera vez en diciembre 27 y hasta el día
de hoy no ha sido parchada por Microsoft. Esta vulnerabilidad
puede ser utilizada por troyanos aún con el service pack
2 de Windows XP.
Los archivos
WMF son archivos de imágenes utilizados por aplicaciones
de uso popular como Microsoft Word. Hasta ahora, este tipo de
archivos y su vulnerabilidad han sido usados para instalar spyware.
Los usuarios pueden ser infectados simplemente por visitar una
página web con una imagen que contenga un archivo WMF infectado.
Los usuarios de Internet Explorer tienen un mayor riesgo de infección
ya que con el simple hecho de abrir una página con este
tipo de archivos pueden infectarse automáticamente, mientras
que con los exploradores de Firefox y Opera al encontrarse una
página con estas características, se le pedirá
al usuario autorización para abrir o no este tipo de archivos,
sin embargo si su respuesta es afirmativa también se infectará.
Microsoft
y CERT.ORG realizaron boletines informativos sobre la vulnerabilidad
en los archivos WMF, así también anunciaron estar
trabajando en algún parche de seguridad para esto. Microsoft
confirma que esta vulnerabilidad se aplica a todas las versiones
de las principales versiones de Windows, es decir: Windows ME,
Windows 2000, Windows XP y Windows 2003. Esto significa que millones
de computadores se encuentran vulnerables hasta este momento.
Como medida
de precaución, F-Secure recomienda a los administradores
de sistemas bloquear el acceso a los archivos WMF a nivel de firewall
o proxy HTTP y SMTP. También se les recomienda a los consumidores
que activen su actualización automática de Windows
y eliminen los correos que les sean enviados con archivo WMF o
de dudosa procedencia, de igual forma es muy importante que verifiquen
que su antivirus se encuentre actualizado.
F-Secure Anti-Virus
detecta los archivos WMF infectados con una detección genérica
ya sea como PFV-Exploit o Exploit.Win32.IMG-WMF.
Acerca de
lo anterior, el directivo de F-Secure, Mikko Hypponen comento:
"Hasta ahora, solo hemos visto el uso de esta vulnerabilidad
para instalar un antivirus o spyware falso en las máquinas
que han sido infectadas. Sin embargo temo que en poco tiempo habrá
otro tipo de códigos maliciosos (virus) utilizando esto.
Hasta ahora hemos visto 70 versiones de códigos maliciosos
en archivos WMF." Hypponen apuntó que la vulnerabilidad
WMF ha sido utilizada con una intención criminal al instalar
spyware en usuarios ordinarios para que compren productos falsos
que pretenden ser software de seguridad para sus computadores.
Hasta que
no se libere un parche de seguridad, Hypponen recomienda a los
administradores filtrar los siguientes dominios en los firewalls
corporativos.
toolbarbiz[dot]biz
toolbarsite[dot]biz
toolbartraff[dot]biz
toolbarurl[dot]biz
buytoolbar[dot]biz
buytraff[dot]biz
iframebiz[dot]biz
iframecash[dot]biz
iframesite[dot]biz
iframetraff[dot]biz
iframeurl[dot]biz
freecat[dot]biz
Para mayor
información sobre esta vulnerabilidad, por favor verifique
el blog de F-Secure, que contiene noticias actualizadas sobre
esta vulnerabilidad: http://www.f-secure.com/weblog/
A los usuarios
de F-Secure se les recomienda verificar que su antivirus se encuentre
al día, cualquier duda por favor no duden en comunicarse
con nosotros.
