La vulnerabilidad de metarchivo de Windows, también denominada ejecución de código de imagen de metarchivo y abreviado MICE, es una vulnerabilidad de seguridad en la forma en que algunas versiones del sistema operativo Microsoft Windows manejaban imágenes en el formato de metarchivo de Windows . Permite la ejecución de código arbitrario en los equipos afectados sin el permiso de sus usuarios. Fue descubierto el 27 de diciembre de 2005 y los primeros informes de equipos afectados se anunciaron en 24 horas. Microsoft lanzó una actualización de alta prioridad para eliminar esta vulnerabilidad a través de Windows Update el 5 de enero de 2006. [1]Los ataques que utilizan esta vulnerabilidad se conocen como vulnerabilidades de WMF .
La vulnerabilidad se encontraba en gdi32.dll y existía en todas las versiones de Microsoft Windows desde Windows 3.0 hasta Windows Server 2003 R2 . Sin embargo, los vectores de ataque solo existen en las versiones de Windows basadas en NT (Windows NT, Windows 2000 , Windows XP y Windows Server 2003 ). Los exploits que se aprovecharon de la vulnerabilidad en los sistemas basados en Windows NT facilitaron la propagación de varios tipos de malware , generalmente a través de descargas no autorizadas .
Debido al impacto extremo, este error ganó el premio Pwnie 2007 por "Mass 0wnage" y "Breaking the Internet".
Sistemas afectados
Todas las versiones del sistema operativo Microsoft Windows son compatibles con el estándar de gráficos de metarchivo de Windows. Todas las versiones desde Windows 3.0 hasta Windows Server 2003 R2 contienen esta falla de seguridad. [2] Sin embargo, Windows NT 4.0 y Windows XP , a menos que estén parcheados , son más vulnerables que las versiones anteriores porque su instalación predeterminada habilita la ejecución del código de metarchivo de Windows, la fuente de la vulnerabilidad. [3] Las versiones posteriores de Windows no tienen esta vulnerabilidad. [2]
Según el experto en seguridad informática Steve Gibson , Windows NT 4 es vulnerable a vulnerabilidades conocidas si la vista previa de la imagen está habilitada. [3] Los sistemas operativos Windows que no tienen la vista previa de imágenes habilitada o que tienen activada la Prevención de ejecución de datos (DEP) basada en hardware para todas las aplicaciones no deberían ser susceptibles a esta vulnerabilidad. [4]
Los sistemas operativos distintos de Windows (por ejemplo, macOS , Unix , Linux , etc.) no se ven afectados directamente. Sin embargo, un sistema que no sea de Windows podría volverse vulnerable si ejecuta software para ver archivos WMF de Windows. Esto podría incluir software que incorpore o clone la biblioteca de enlace dinámico (DLL) de interfaz de dispositivo gráfico (GDI) nativa de Windows [1] o que ejecute Windows o programas de Windows a través de un emulador o una capa de compatibilidad . Un sistema similar a Unix que usa Wine para emular Windows, por ejemplo, podría ser explotado. [5] Gibson escribió el programa MouseTrap, que su empresa distribuye como software gratuito , para detectar la vulnerabilidad de Windows Metafile en sistemas que ejecutan Windows y emuladores de Windows. [3]
La vulnerabilidad
Según las evaluaciones de F-Secure , [2] la vulnerabilidad es un defecto inherente en el diseño de archivos WMF, porque la arquitectura subyacente de dichos archivos es de una era anterior e incluye características que permiten que el código real se ejecute siempre que un WMF se abre el archivo. El propósito original de esto era principalmente manejar la cancelación de trabajos de impresión durante la puesta en cola .
Según Secunia , "La vulnerabilidad se debe a un error en el manejo de archivos de metarchivo de Windows ('.wmf') que contienen SETABORTPROC
registros 'Escape' especialmente diseñados . Estos registros permiten que se ejecute una función arbitraria definida por el usuario cuando se procesa un archivo . El archivo WMF falla ". Según la documentación del SDK de Windows 3.1, el SETABORTPROC
escape quedó obsoleto y fue reemplazado por la función del mismo nombre en Windows 3.1, mucho antes de que se descubriera la vulnerabilidad de WMF. Sin embargo, el código de escape obsoleto se mantuvo por compatibilidad con programas de 16 bits escritos para (o al menos compatibles con versiones anteriores) Windows 3.0. Este cambio ocurrió aproximadamente al mismo tiempo que Microsoft estaba creando la reimplementación de 32 bits de GDI para Windows NT, y es probable que la vulnerabilidad se haya producido durante este esfuerzo.
El mecanismo 'Escape' en cuestión permite a las aplicaciones (no a los metarchivos) acceder a las funciones del dispositivo de salida que GDI aún no ha abstraído, como las curvas de Bézier aceleradas por hardware , la compatibilidad con postscript encapsulado, etc. Esto se hace pasando un código de operación, un tamaño y un puntero a algunos datos de la llamada, que normalmente se los pasará al controlador. Debido a que la mayoría de las llamadas de Escape producen gráficos reales, el mecanismo de escape general está permitido en los metarchivos con poca consideración originalmente en la posibilidad de usarlo para cosas como SETABORTPROC, los intérpretes de metarchivos modernos no vulnerables ahora verifican el código de operación contra una lista negra o lista blanca, mientras mantienen el conjunto completo de códigos de operación disponibles para el código regular que llama directamente a las funciones de escape de GDI (debido a que dicho código ya se está ejecutando de la misma manera que el código que podría realizar la llamada GDI, no hay riesgo de seguridad en ese caso).
Vale la pena señalar que Windows de 16 bits (excepto el modo Real rara vez utilizado de Windows 3.0) era inmune a la vulnerabilidad porque el puntero especificado en el metarchivo solo puede apuntar a datos dentro del metarchivo, y Windows de 16 bits siempre tuvo un no completo Ejecución de ejecución de datos exigida por la arquitectura segmentada del modo protegido de 16 bits. Windows NT para arquitecturas de CPU distintas de x86 de 32 bits (como MIPS, PowerPC, Alpha, Itanium y x86_64) requería programación orientada a retorno para explotar porque esas arquitecturas tenían la funcionalidad de no ejecución que faltaba en los procesadores x86 más antiguos.
La vulnerabilidad es CVE - 2005-4560 en la base de datos Common Vulnerabilities and Exposures , referencia US-CERT VU # 181038 y artículo 912840 de Microsoft Knowledge Base . Fue observado por primera vez en la naturaleza por investigadores de Sunbelt Software el 28 de diciembre de 2005 y anunciado públicamente por el presidente de la compañía, Alex Eckelberry . [6] [7]
Propagación e infección
Las computadoras pueden verse afectadas por la propagación de correos electrónicos infectados que llevan el archivo WMF pirateado como archivo adjunto . La infección también puede resultar de:
- Ver un sitio web en un navegador web que abre automáticamente archivos WMF, en cuyo caso cualquier código malicioso potencial puede descargarse y abrirse automáticamente. Internet Explorer , el navegador web predeterminado para todas las versiones de Microsoft Windows desde 1996 hasta Windows 10 , hace esto.
- Vista previa de un archivo infectado en el Explorador de Windows .
- Ver un archivo de imagen infectado mediante algunos programas de visualización de imágenes vulnerables.
- Vista previa o apertura de correos electrónicos infectados en versiones anteriores de Microsoft Outlook y Outlook Express .
- Indexación de un disco duro que contiene un archivo infectado con Google Desktop .
- Al hacer clic en un enlace a través de un programa de mensajería instantánea como Windows Live Messenger , AOL Instant Messenger (AIM) o Yahoo! Messenger .
También se pueden utilizar otros métodos para propagar la infección. Debido a que el problema está dentro del sistema operativo, el uso de navegadores que no sean de Microsoft, como Firefox u Opera , no brinda una protección completa. Por lo general, se solicita a los usuarios que descarguen y vean un archivo malicioso que infecta la computadora. Los archivos infectados se pueden descargar automáticamente , lo que abre la posibilidad de infección mediante la indexación del disco o la vista previa accidental.
Según evaluaciones de la compañía antivirus McAfee , [3] la vulnerabilidad se ha utilizado para propagar el troyano de puerta trasera Bifrost . Otras formas de malware también han aprovechado la vulnerabilidad para entregar varias cargas útiles maliciosas .
McAfee afirma que más del 6% de su base de clientes había encontrado la primera generación de tales vulnerabilidades al 31 de diciembre de 2005.
Parche oficial
Microsoft lanzó un parche oficial para solucionar el problema el 5 de enero de 2006. [8] Este parche puede aplicarse en lugar de otras medidas correctivas.
El parche oficial está disponible para Windows 2000 , Windows XP y Microsoft Windows Server 2003 . Windows NT 4 y otros sistemas operativos más antiguos no recibieron un parche porque ya no eran compatibles con Microsoft para entonces. Steve Gibson declaró en su Security Now! podcast n. ° 20, que su empresa Gibson Research Corporation pondría a disposición un parche para los sistemas Windows 9x si Microsoft no lo hiciera. [9] Después de una mayor investigación, Steve Gibson declaró, en un Security Now! podcast # 23, que Windows 9x y ME no son vulnerables y no necesitan parches. [10] Los usuarios de Windows 9x / ME pueden ejecutar su utilidad Mouse Trap para comprobarlo por sí mismos.
Paolo Monti de Future Time, el distribuidor italiano del sistema antivirus NOD32 de Eset , ha proporcionado un parche descargable gratuito para Windows NT [11] . El parche funciona en sistemas operativos más antiguos, pero se suministra sin garantía.
Ha habido informes de que el parche oficial se instala automáticamente incluso cuando la Actualización automática de Windows está configurada para preguntar antes de instalar las actualizaciones descargadas automáticamente. Esto provoca un reinicio automático , que puede provocar la pérdida de datos si el usuario tiene un programa abierto con cambios no guardados. [4]
Otras medidas correctivas
Estas medidas son de interés histórico únicamente en los sistemas actualizados a partir del 5 de enero de 2006.
Solución alterna
Como solución antes de que estuviera disponible un parche, [5] el 28 de diciembre de 2005 Microsoft aconsejó a los usuarios de Windows que anularan el registro del archivo de biblioteca de vínculos dinámicos shimgvw.dll (lo cual se puede hacer ejecutando el comando regsvr32.exe /u shimgvw.dll
desde el menú Ejecutar o el símbolo del sistema ) invoca la vista previa de archivos de imagen y es aprovechado por la mayoría de estos ataques. La DLL se puede volver a registrar después de la revisión ejecutando regsvr32.exe shimgvw.dll
. Esta solución temporal bloquea un vector de ataque común, pero no elimina la vulnerabilidad.
Parche de terceros
Una tercera parte de parche [6] fue liberado por ilfak guilfanov el 31 de diciembre de 2005 para desactivar temporalmente los vulnerables función de llamada en gdi32.dll. Este parche no oficial recibió mucha publicidad debido a la falta de disponibilidad de uno oficial de Microsoft, recibiendo la recomendación de SANS Institute Internet Storm Center [7] y F-Secure. [8] Debido a la gran cantidad de publicidad, incluida la distribución indirecta de puntos , [9] el sitio web de Guilfanov recibió más visitantes de los que podía soportar y fue suspendido el 3 de enero de 2006; el parche todavía estaba disponible para su descarga desde varios espejos, incluido el sitio web de Internet Storm Center. [10]
El sitio web de Guilfanov volvió a estar en línea el 4 de enero en un estado muy reducido. Al dejar de proporcionar el parche en el sitio debido a problemas de ancho de banda , la página de inicio proporcionaba una lista de espejos donde un usuario podía descargar el parche y el verificador de vulnerabilidades asociado, y la suma de verificación MD5 para el archivo, de modo que se pudiera verificar que un El archivo descargado probablemente era genuino.
Después de que Microsoft lanzó su parche, Guilfanov retiró el suyo.
Técnicas de reducción de riesgos
Microsoft dice que su parche elimina la funcionalidad defectuosa en GDI32 que permitió la vulnerabilidad WMF. Para los equipos que ejecutan una versión de Windows sin parches, se recomendó un enfoque de defensa en profundidad para mitigar el riesgo de infección. Varias fuentes han recomendado esfuerzos de mitigación que incluyen:
- Hacer uso de la prevención de ejecución de datos reforzada por hardware [11] eficaz para todas las aplicaciones.
- Configure la aplicación WMF predeterminada para que no sea susceptible a infecciones, como el Bloc de notas .
- No use Internet Explorer, o al menos desactive las descargas estableciendo la configuración de seguridad predeterminada en alta.
- Mantenga actualizado todo el software antivirus . Considere las actualizaciones manuales frecuentes.
- Bloquee todos los archivos WMF en el perímetro de la red mediante el filtrado de encabezados de archivos.
- Hacer uso de cuentas de usuario que están configuradas solo con los derechos de usuario necesarios.
- Desactive la carga de imágenes en Internet Explorer y todos los demás navegadores. [12]
- Deshabilite la carga de imágenes en Outlook Express . [13]
- Deshabilite los hipervínculos en MSN Messenger.
- Desactive el servicio de indexación en Windows 2000 , Windows XP y Windows Server 2003 .
- Desactive las aplicaciones de búsqueda de escritorio, como Google Desktop o Windows Desktop Search, hasta que se corrija el problema.
Según el artículo del SANS Institute Internet Storm Center, el uso de un navegador web que no sea Internet Explorer puede ofrecer protección adicional contra esta vulnerabilidad. [12] Dependiendo de la configuración, estos navegadores pueden preguntar al usuario antes de abrir una imagen con la extensión .wmf, pero esto solo reduce la posibilidad de abrir el metarchivo de Windows creado con fines malintencionados y no protege contra la vulnerabilidad que se está aprovechando, ya que estos navegadores aún abra el metarchivo si se hace pasar por otro formato. Es mejor deshabilitar por completo la carga de imágenes en cualquier navegador que se utilice.
Acusaciones
En 2006, Steve Gibson sugirió que la naturaleza peculiar del 'error' era una indicación de que la vulnerabilidad era en realidad una puerta trasera diseñada intencionalmente en el sistema. [13] La acusación se convirtió en una afirmación y se difundió a través de Internet como un rumor después de que el sitio web de noticias de tecnología Slashdot recogiera las especulaciones de Gibson. [13] El rumor fue ampliamente desacreditado [14] [15] y Thomas Greene, escribiendo en The Register , atribuyó el error de Gibson a "su falta de experiencia en seguridad" y lo llamó un "experto en popinjay". [13]
Notas
- ^ Vigilancia de seguridad: ¡Imágenes inicuas ponen en peligro Internet! , Larry Seltzer, Revista de PC.
- ^ Una descripción de la función de vista previa de imagen en Windows Millennium Edition, Microsoft.
- ^ sunbeltblog.blogspot.comMicrosoft aclara el problema de DEP
- ^ Biblioteca para sistemas operativos distintos de Windowspara ejecutar archivos WMF.
- ^ Linux / BSD todavía está expuesto al exploit WMF a través de WINE, ZDNet.
- ^ No es un error, es una característica, F-Secure.
- ^ Exploit-WMF, de McAfee
- ^ Aviso de seguridad de Microsoft (912840): una vulnerabilidad en el motor de renderizado de gráficos podría permitir la ejecución remota de código, Aviso oficial de Microsoft sobre la vulnerabilidad.
- ^ http://www.hexblog.com/2005/12/wmf_vuln.html, parche no oficial de Ilfak Guilfanov.
- ^ Computación confiable, Centro de tormenta de Internet del Instituto SANS.
- ^ ¡ Ilfak al rescate! , F-Secure.
- ^ Computación confiable, Slashdot. Enlace al artículo de SANS Institute Internet Storm Center titulado Computación confiable (ver arriba).
- ^ Archivo de instalación .MSI para la falla de WMF disponible, SANS Institute Internet Storm Center.
- ^ Cómo configurar la protección de la memoria en Windows XP SP2, función de prevención de ejecución de datos (DEP) aplicada por software en Microsoft Windows XP SP 2.
- ^ Cómo mejorar el rendimiento de la navegación en Internet Explorer (KB153790), Microsoft.
- ^ Las imágenes se bloquean cuando abre un mensaje de correo electrónico en Outlook Express en una computadora con Windows XP Service Pack 2 (KB843018), Microsoft.
- ^ http://www.nod32.ch/en/download/tools.phpParche no oficial de WMF de Paolo Monti distribuido por ESET.
- ^ http://blogs.securiteam.com/index.php/archives/210Parche no oficial de Windows 98SE de Tom Walsh.
Referencias
- ^ "Microsoft lanza una actualización de seguridad para corregir una vulnerabilidad en Windows" , PressPass , Microsoft, 5 de enero de 2006, archivado desde el original el 18 de enero de 2006
- ^ a b "Boletín de seguridad de Microsoft MS06-001 - Crítico" . TechNet . Microsoft. 5 de enero de 2006 . Consultado el 12 de julio de 2021 .
- ^ a b c Gibson, Steve (19 de enero de 2006). "MICE: Ejecución de código de imagen de metarchivo" . Gibson Research Corporation . Consultado el 12 de julio de 2021 .
- ^ Eckelberry, Alex (31 de diciembre de 2005). "Microsoft aclara el problema 'DEP'". Blog de GFI . Software GFI. Falta o vacío
|url=
( ayuda ) - ^ Gibson, Steve; Laporte, Leo (4 de mayo de 2013). "MouseTrap de GRC" . ¡Seguridad ahora! . Consultado el 12 de julio de 2021 .
- ^ http://www.sans.org/reading_room/whitepapers/honors/december-storm-wmf-preparation-identification-containment-exploits_1666
- ^ "Nuevo exploit explota por sistemas Windows XP completamente parcheados" . 2005-12-28.
- ^ "Documentación técnica, API y ejemplos de código" .
- ^ "GRC | ¡Seguridad ahora! Transcripción del episodio # 20" .
- ^ "GRC | ¡Seguridad ahora! Transcripción del episodio # 23" .
- ^ Parche descargable para Windows NT por Paolo Monti
- ^ Frantzen, Swa, "Preguntas frecuentes de WMF" , Blog del diario de controladores de InfoSec , Centro de tormentas de Internet del Instituto SANS
- ^ a b c Greene, Thomas C. (21 de enero de 2006). "El rumor de la puerta trasera de Windows es una tontería" . El registro . Situación Publishing Ltd . Consultado el 7 de noviembre de 2013 .
- ^ Stephen Toulouse para el Centro de respuesta de seguridad de Microsoft. 13 de enero de 2006 Mirando el problema de WMF, ¿cómo llegó allí?
- ^ Otto Helweg para Blog de Mark Russinovich. 18 de enero de 2006 Dentro de la puerta trasera de WMF
enlaces externos
- Ejecución de código de imagen de metarchivo MICE de GRC
- Boletín de seguridad de Microsoft para usuarios domésticos novatos
- Boletín de seguridad de Microsoft MS08-021
- Boletín de seguridad de Microsoft MS06-001
- Preguntas frecuentes de WMF - SANS Institute Internet Storm Center
- La falla de seguridad de Windows es 'severa' - Washington Post
- Microsoft Windows WMF "SETABORTPROC" ejecución de código arbitrario - Secunia de asesoramiento
- Resumen de la situación al 1 de enero
- Mirando el problema de WMF, ¿cómo llegó allí? - Blog del centro de respuesta de seguridad de Microsoft
- Lanzamiento de un nuevo exploit para la vulnerabilidad de WMF - SANS Institute Internet Storm Center
- Tenga cuidado con los archivos WMF - F-Secure
- Lotus Notes vulnerable al exploit de 0 días de WMF - SANS Institute Internet Storm Center
- Comprobador de vulnerabilidades - Ilfak Guilfanov
- Ejemplo de exploit - Proyecto Metasploit
- Páginas de Microsoft Developer Network para Escape y SetAbortProc
- Comentario técnico de Mark Russinovich sobre la controversia de la puerta trasera