Categories: SeguridadVirus

Análisis de la vulnerabilidad en ficheros ANI de Microsoft

El error en la carga de punteros animados ha provocado una oleada de malware que aprovecha la vulnerabilidad, y Microsoft se ha visto obligada a publicar un parche fuera de su ciclo habitual de los segundos martes de cada mes.

En Hispasec, hemos analizado en un documento técnico (white paper) las causas de la vulnerabilidad de punteros animados y cómo la aprovecha el malware para conseguir la ejecución de código. Además, en el documento que hemos creado, se puede observar el número de muestras víricas recibidas en VirusTotal que intentan aprovechar la vulnerabilidad. En 14 días, se han recibido más de mil muestras únicas (según hash MD5). Esto implica una media de tres nuevas muestras (o variantes) creadas cada hora durante las últimas dos semanas. Esta cifra solo incluye lo recibido en VirusTotal, sin duda el número real que circula en Internet es mucho mayor.

Además, hemos preparado una prueba de concepto que aprovecha la vulnerabilidad y permite la descarga y ejecución de código con sólo visitar una página web. El archivo de prueba que hemos preparado se descarga en el “documents and settings” del usuario, con nombres aleatorios compuestos por una sola letra (con el formato X.exe). El programa descargado es una aplicación inofensiva alojada en nuestros servidores, que simula que la pantalla se derrite. Cuando se cierra esta aplicación, el proceso explorer.exe puede ser reiniciado, sin causar perjuicio alguno en el sistema. Después de realizar la prueba, si se es vulnerable, se recomienda borrar el archivo descargado (situado habitualmente en c:documents and settingsusuario). Algunos antivirus detectarán la página que aprovecha la vulnerabilidad como troyano, y el programa como “joke”, o broma, pero insistimos en lo inocuo de la prueba de concepto y el programa.

Si se es vulnerable y el programa llega a ejecutarse, se recomienda encarecidamente actualizar el sistema con el boletín MS07-017 desde Windows Update o directamente desde la URL

http://www.microsoft.com/technet/security/Bulletin/MS07-017.mspx

Con esta prueba de concepto, se pretende demostrar lo grave de la vulnerabilidad. En lugar de una aplicación inofensiva, que insistimos algunos antivirus pueden detectar como “joke” (broma), un atacante podría utilizar una página web, o un mensaje con formato HTML, para distribuir virus, gusanos o troyanos que infectarían de forma automática y transparente al usuario. Teniendo en cuenta los datos recibidos en VirusTotal, la vulnerabilidad a día de hoy sigue siendo aprovechada por una gran cantidad de malware que circula por la red y no todos los antivirus son capaces de detectar todas las muestras creadas. La solución más práctica pasa por actualizar el sistema con los últimos parches.

Los enlaces directos a la descarga de los documentos (en castellano e inglés) son:

http://www.hispasec.com/laboratorio/vulnerabilidad_ani.pdf

http://www.hispasec.com/laboratorio/vulnerabilidad_ani_en.pdf

La prueba de concepto está alojada en: (ATENCIÓN: Si se visita con Microsoft Windows e Internet Explorer sin el parche MS07-017, descargará y ejecutará una aplicación que simula que la pantalla se derrite. Es posible que después de esto el proceso explorer.exe se reinicie): http://blog.hispasec.com/laboratorio/recursos/ani/exploit.html

Para aquellos lectores que ya hayan actualizado su sistema y no sean vulnerables, pueden visualizar un vídeo en el que se muestra el efecto del exploit en:

http://www.hispasec.com/laboratorio/video_ani.htm

Redacción

Recent Posts

Google paga 5.000 millones de dólares para resolver una demanda colectiva

Los usuarios denunciaban que la compañía los había rastreado incluso cuando usaban el modo privado…

11 meses ago

Las pymes valencianas pueden optar a ayudas de 5,5 millones de euros por proyectos de I+D

El Instituto Valenciano de Competitividad Empresarial financiará aquellas iniciativas que puedan solucionar incertidumbres científicas o…

11 meses ago

La guerra entre Israel y Gaza no acobarda a los inversores extranjeros de startups

Solo en el cuarto trimestre las empresas emergentes del país han levantado 1.500 millones de…

11 meses ago

Navarra ya cuenta con más de 80 startups

La región tiene 13 scaleups y destaca por sus empresas emergentes de salud y agrotech.

11 meses ago

Las startups valencianas progresaron adecuadamente en 2023

Valencia ha atraído en el primer semestre del año 30 millones de euros de inversión…

11 meses ago

El New York Times acusa a Open AI y Microsoft de infringir sus derechos de autor

El diario estadounidense demanda a las dos compañías tecnológicas por haber usado sus contenidos para…

11 meses ago