Falha em arquivos de imagem expõe Windows

[Prog 183]

Falha em arquivos de imagem expõe Windows

Quinta-feira, 29 dezembro de 2005 - 11:22

IDG Now!

 

Sistemas protegidos rodando Windows XP e Windows Server 2003 podem ser atacados com sucesso por hackers, empresas de segurança confirmaram na terça e na quarta-feira (28/12).

 

Os ataques podem ocorrer graças a uma vulnerabilidade na forma como esses sistemas operacionais lidam com arquivos gráficos .wmf (Windows Metafile) corrompidos.

 

As empresas descrevem a falha como "dia zero", porque os hackers estão aproveitando para tirar vantagem dela enquanto não há patch ou técnica oficial para driblá-la.

 

Os criminoso virtuais podem rodar o código que quiserem no sistema comprometido, e até mesmo as máquinas que tem todos os patches disponíveis instalados estão desprotegidas, segundo diversos analistas.

 

Segundo as empresas de segurança, o usuário pode ser atacado se tomar alguma das seguintes ações: visitar sites que hospedem a exploração da falha; abrir um arquivo malicioso .wmf nos visualizadores de imagem Windows Picture e Fax Viewer; ou pré-visualizar um arquivo .wmf no Windows Explorer.

Na íntegra: http://idgnow.uol.com.br/AdPortalv5/Segura...nnelID=21080105

 

A falha é dita como EXTREMAMENTE CRITICA pelo site da Secunia.

http://secunia.com/advisories/18255/

[Prog 183]

http://www.microsoft.com/technet/security/...ory/912840.mspx

[Prog 183]

Correções possiveis (incluindo um patch não oficial):

http://idgnow.uol.com.br/AdPortalv5/Segura...nnelID=21080105

[italo 0]

e esse patch não oficial é seguro!? não sei ... utilizo winXP SP2 Full Updated em casa, não sei se devo ou não pegar esse patch

[Prog 183]

Uma outra solução é desabilitar a biblioteca responsável pela manipulação dos arquivos WMF.

 

Você pode aplicar esta solução caso considere mais segura. No mesmo endereço ensina como.

[Prog 183]

Perguntas e respostas sobre a falha do WMF

 

Por que esse problema é tão grave?

A vulnerabilidade no WMF usa imagens WMF para executar código malicioso. O código será executado se o arquivo for visualizado. Na maioria dos casos, você não precisa clicar em nada. Até mesmo as imagens armazenadas no seu sistema podem fazer com que o código malicioso seja ativado se ela for indexada por algum software de indexação. Listar o conteúdo de uma pasta no modo miniaturas também ativará o código malicioso. Além disso, o patch só será lançado no dia 10 com as demais correções para janeiro.

 

É melhor usar o Firefox ou o Internet Explorer?

O Internet Explorer exibirá as figuras e ativará o exploit sem qualquer aviso. As versões mais novas do Firefox vão exibir um alerta antes de abrir a imagem. Entretanto, na maioria dos casos, isso não oferece muita proteção já que os arquivos maliciosos são imagens e portanto são considerados “seguros”.

 

Como funciona o patch não-oficial?

O wmfhotfix.dll é injetado em qualquer programa que carrega o user32.dll. O DLL então modifica na memória a função Escape() do gdi32.dll para que ela ignore qualquer chamada que utiliza o parâmetro SETABORTPROC (0×09). Isso deve permitir a exibição de arquivos WMF normalmente e bloquear o código malicioso ao mesmo tempo. A versão do patch divulgada nesse FAQ foi testada contra todas as versões conhecidas do exploit e deve funcionar em Windows XP (SP1/SP2) e Windows 2000.

 

Os antivírus são bons para me proteger dessa falha?

Nós estamos sabendo de versões do exploit que não são detectadas por scanners antivírus. Nós esperamos que eles adicionem a detecção logo. Mas será uma dura batalha até que eles consigam adicionar todas as versões do exploit. Um antivírus atualizado é necessário, mas não é suficiente.

 

O que eu posso fazer no meu perímetro/firewall para proteger minha rede?

Não muito. Um servidor proxy que retira todas as imagens pode ajudar, mas não será bom para os seus usuários. Pelo menos bloqueie a extensão .wmf (mas veja acima que o exploit não precisa desse formato). Se o seu proxy possui algum tipo de scanner antivírus, ele poderá pegar o exploit — o mesmo pode ser dito sobre servidores de e-mail. Quanto menos conexões outbound (de dentro para fora) você permite que os seus usuários façam, melhor. Um monitoramento detalhado das estações de trabalho pode lhe ajudar a saber quando uma delas for infectada.

Na íntegra: http://linhadefensiva.uol.com.br/2006/01/faq-wmf/

 

Quarta, 4 de janeiro de 2006, 09h46

Microsoft corrigirá falha do Windows na semana que vem

 

A Microsoft afirmou hoje que espera ter pronto na próxima semana um conserto para a falha de segurança recentemente descoberta no Windows e que pode tornar computadores vulneráveis a vírus.

 

A gigante do software informou em comunicado que "completou o desenvolvimento de uma atualização de segurança para reparar a vulnerabilidade" descoberta na semana passada. A atualização do sistema está sendo finalizada e a companhia espera liberá-la em 10 de janeiro.

Na íntegra: http://tecnologia.terra.com.br/interna/0,,...-EI4805,00.html

[Mário Monteiro 179]

ta muito bom o topico prog... parabens tiozinho pelas informações atualizadas http://forum.imasters.com.br/public/style_emoticons/default/joia.gif

[Mário Monteiro 179]

Bacana mesmo! Mas a alternância de avatar também tá show! http://forum.imasters.com.br/public/style_emoticons/default/clap.gif

Tou a um tempão querendo comentar isso mas não encontrava o momento certo... http://forum.imasters.com.br/public/style_emoticons/default/shifty.gif Agora foi... http://forum.imasters.com.br/public/style_emoticons/default/yay.gif Fica bacana mesmo os seus avatares prog http://forum.imasters.com.br/public/style_emoticons/default/clap.gif

[Prog 183]

Correção vaza na Web:

http://forum.imasters.com.br/index.php?showtopic=160967

[Tiago Santos 0]

Epa, vazou mesmo.. enquanto lia isso, meu pc baixou a correção via atualizações automáticas (eu acho que é, só pode ser, ou tem outra falha???). Espreme os caras que a coisa anda!!!

[Mário Monteiro 179]

a propria MS antecipou a correção agora é ver se corrigiu mesmo