Si la víctima utiliza Internet Explorer, puede provocarse la ejecución automática de código arbitrario al visitar la web maliciosa. Otros navegadores como Firefox preguntarán sobre si se quiere cargar la imagen en el componente vulnerable antes mencionado.
Este código malicioso se está utilizando para distribuir troyanos como Trojan-Downloader.Win32.Agent.abs, Trojan-Dropper.Win32.Small.zp, Trojan.Win32.Small.ga y Trojan.Win32.Small.ev.
En estos momentos varias soluciones antivirus presentes en VirusTotal detectan el exploit, por lo que además conviene mantener actualizado el antivirus que se utilice.
El problema se ha confirmado en sistemas XP y 2003 totalmente parcheados, aunque no se descarta que pueda afectar a otras plataformas.
A la espera de un parche de actualización que solvente el problema, se recomienda filtrar el acceso a dicho dominio, además de archivos en ese formato a nivel aplicación (proxy web, servidor de correo, etc).
Julio Canto
jcanto@hispasec.com
Noticias Hispasec
ULTIMAS NOTICIAS SOBRE EL EXPLOIT
La criticidad de los problemas de seguridad es siempre proporcional al alcance y peligrosidad de los mismos. Especialmente notorio en este campo, sin menospreciar la importante seguridad doméstica, es la seguridad de las corporaciones. Cuando lo que se pone en peligro es una posible ruptura de la continuidad de un negocio, los problemas de seguridad se convierten en problemas organizativos extremadamente críticos.
Según la información aparecida en el NIST, John Herron ha descubierto que todas las versiones 6.x y superiores de Lotus Notes son vulnerables al exploit de gestión de archivos de metadatos WMF recientemente aparecido. Es preciso informar que Lotus Notes es vulnerable incluso después de aplicar el «workaround» sobre regsvr32, en ausencia de parches, en el boletín de Microsoft (912840), lo que convierte a una vulnerabilidad ya de por sí extremadamente crítica en poco más o menos que dramática.
Lotus Notes es un software colaborativo cliente-servidor, muy popular en entornos corporativos, propiedad de Lotus Software, perteneciente al grupo de IBM Software.
En ausencia de parches, la recomendación que podemos transmitir a los responsables de IT y seguridad de las corporaciones que empleen Lotus Notes son filtrar en el perímetro las extensiones comunes asociadas a formatos gráficos, como BMP, DIB, EMF, GIF, ICO, JFIF, JPE, JPEG, JPG, PNG, RLE, TIF, TIFF y WMF, ya que las plataformas Microsoft Windows manejan estos ficheros no por la extensión que se emplee, sino por la información que exista en la cabecera de datos.
Por supuesto, es una recomendación igualmente válida es no abrir ni visualizar documentos gráficos procedentes de fuentes no fiables, a la espera de la puesta a disposición del público afectado de las pertinentes contramedidas. IBM está al corriente del problema, y se espera libere un boletín específico en las próximas horas, con lo que recomendamos a los usuarios de Lotus Domino contacten a la mayor brevedad posible con sus servicios técnicos y/o de atención al cliente para recibir la información más actualizada posible, habida cuenta del elevado riesgo de la problemática descrita.
Microsoft ha procedido a actualizar el boletín emitido en la jornada de ayer. Lo más relevante en esta actualización es que están centrando la investigación en la utilización de ficheros especialmente creados para ser explotados por Internet Explorer, y que no tienen constancia de actividad de explotación de ficheros maliciosos .WMF incrustados en documentos, como por ejemplo, en documentos Word.
De momento la compañía tampoco confirma que MSN Desktop Search pueda facilitar la explotación de la vulnerabilidad, tal y como sucede con Google Desktop, si bien van a investigar el caso con profundidad. Del mismo modo, confirman oficialmente que esta vulnerabilidad y la aparecida en Noviembre «MS05-053 – Vulnerabilities in Graphics Rendering Engine Could Allow Code Execution (896424)» son dos vulnerabilidades distintas, e invitan a los usuarios de sistemas de detección de intrusos a que contacten con sus proveedores IDS, para ver cómo pueden cooperar estos mecanismos en la reducción a la exposición de esta hornada de malware.
Sergio Hernando
shernando@hispasec.com
Noticias Hispasec
Más información:
Lotus Notes vulnerable to MS Windows graphics rendering engine bug
http://www.nist.org/nist_plugins/content/content.php?content.25
Lotus Notes Vulnerable to WMF 0-Day Exploit
http://isc.sans.org/diary.php?rss&storyid=981
Vulnerability in Graphics Rendering Engine Could Allow Remote Code Execution. (Actualizado) http://www.microsoft.com/technet/security/advisory/912840.mspx
Microsoft confirma la vulnerabilidad al procesar .WMF
http://www.hispasec.com/unaaldia/2623
Vulnerabilidad en tratamiento de archivos WMF de Windows
http://www.hispasec.com/unaaldia/2622
