Mostrando mensaje 1461     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No 2409 Año 11, sábado 31 de marzo de 20 07 Fecha: Sabado, 31 de Marzo, 2007  10:56:56 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No 2409 Año 11, sábado 31 de marzo de 2007 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ Todo sobre la vulnerabilidad en cursores animados _____________________________________________________________ http://www.vsantivirus.com/vul-cve-2007-1765.htm Todo sobre la vulnerabilidad en cursores animados Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Microsoft ha confirmado una vulnerabilidad que afecta a diversas versiones de Windows, y que puede ser explotada a través de archivos .ANI. La extensión .ANI corresponde a los cursores e iconos animados de Windows (Windows Animated Cursor), que consisten en una cantidad determinada de cuadros (imágenes diferentes). La vulnerabilidad se produce por un desbordamiento de pila, cuando Windows procesa archivos .ANI mal formados, en los cuáles la información de referencia en sus cabezales ha sido alterada. Un atacante puede provocar un fallo en forma remota, a través de un archivo .ANI en una página Web maliciosa o desde un correo electrónico, de modo tal que el kernel de Windows calcule una dirección errónea para acceder a un cuadro y entonces falle, provocando la ejecución de código. Se han detectado exploits activos, que descargan y ejecutan diferentes troyanos desde Internet. Los exploits reportados hasta el momento, son interceptados por NOD32, e identificados como Win32/TrojanDownloader.Ani.G. Microsoft ha publicado un aviso de seguridad (Microsoft Security Advisory), identificado como 935423, donde confirma la existencia del exploit, y se refiere al problema que causa esta vulnerabilidad. La ejecución de código mediante este exploit, se realiza con los mismos privilegios del usuario actual. La vulnerabilidad afecta a las siguientes versiones de sistemas operativos soportados actualmente por Microsoft: - Microsoft Windows 2000 Service Pack 4 - Microsoft Windows XP Service Pack 2 - Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium) - Microsoft Windows XP Professional x64 Edition - Microsoft Windows Server 2003 - Microsoft Windows Server 2003 (Itanium) - Microsoft Windows Server 2003 Service Pack 1 - Microsoft Windows Server 2003 con SP1 (Itanium) - Microsoft Windows Server 2003 x64 Edition - Microsoft Windows Vista * Explotación de la vulnerabilidad El exploit puede actuar, y un código malicioso ejecutarse, en cualquiera de estos escenarios: 1. Al visualizar una página con un navegador (no solo Internet Explorer) 2. Al leer un correo electrónico 3. Al abrir una carpeta local con el explorador de Windows (configuración por defecto) En el primer caso, el exploit puede actuar tanto al visualizar una página web utilizando Microsoft Internet Explorer como Mozilla Firefox (otros navegadores pueden estar también afectados). Según Microsoft, Internet Explorer 7.0 en modo protegido, no es afectado por el exploit, o al menos no puede ejecutarse el código embebido. En el segundo caso, aunque Microsoft aconsejó al comienzo como medida para mitigar los efectos del problema, leer el correo electrónico como texto sin formato, una lista publicada por el Internet Storm Center (ISC), del SANS Institute, muestra como la vulnerabilidad puede ser explotada en varios clientes de correo, a pesar de que el usuario tome esa precaución. En concreto, el exploit puede ejecutarse al leer un correo en los siguientes programas y condiciones: 1. Al abrir un correo con la configuración por defecto (formato, etc.): Son vulnerables: - Windows XP Outlook Express - Windows Vista Mail - Microsoft Outlook 2003 2. Al leer un correo en el panel de vista previa: Son vulnerables: - Windows XP Outlook Express - Windows Vista Mail - Microsoft Outlook 2003 3. Al abrir un correo en formato solo texto: Es vulnerable: - Windows XP Outlook Express 4. Al responder o reenviar un correo, aún con la opción leer en formato solo texto activa: Son vulnerables: - Windows XP Outlook Express - Windows Vista Mail * Consideraciones Los usuarios de Outlook 2007 están protegidos, sin importar si se leen los mensajes como texto sin formato o no. Leer el correo electrónico como texto sin formato si se utiliza Outlook 2002 o posterior, o Windows Mail, puede ayudar a protegerlo. Sin embargo, en Windows Mail (Windows Vista), aún al leer texto sin formato, el usuario no está protegido si responde o reenvía el mensaje recibido del atacante. Leer el correo como texto sin formato en Outlook Express, no mitiga los intentos para explotar esta vulnerabilidad. Otros clientes de correo como Thunderbird, también son vulnerables, aún cuando se utilice la lectura en texto plano, si se hace clic sobre los enlaces. Según la información actualmente disponible, la vulnerabilidad no puede ser mitigada bloqueando la descarga de archivos .ANI, ya que incluso existen archivos renombrados (como .JPEG, etc.), que pueden igualmente ejecutar el exploit. Además, es importante destacar que Windows Explorer (el Explorador de Windows), puede procesar archivos .ANI con diferentes extensiones, por ejemplo .CUR, .ICO, etc. No existe parche oficial al momento actual, a pesar de que el fallo fue reportado privadamente a Microsoft en diciembre de 2006, por la compañía de seguridad Determina (ver "Referencias"). Sin embargo, no se conocía ningún exploit activo hasta ahora (marzo de 2007). El exploit es considerado un Zero Day (Día cero), basándonos en la definición más aceptada por los profesionales de la seguridad. Así, definimos como "Zero Day", a cualquier exploit que no haya sido mitigado por un parche del vendedor. * Parches no oficiales Si bien Microsoft y la mayoría de los expertos de seguridad, aconsejan no instalar parches que no sean oficiales, el equipo de seguridad de eEye Digital ha desarrollado una herramienta que puede servir como solución temporal para aquellos usuarios que así lo deseen. El parche temporal, previene que los cursores e iconos animados, sean cargados fuera de la carpeta de instalación de Windows. Esto inhabilita la descarga desde cualquier página de Internet, de iconos potencialmente peligrosos. El parche debe ser desinstalado antes de aplicar la solución de Microsoft (cuando ella esté disponible). Más información: Windows .ANI Processing (EEYEZD-20070328) http://research.eeye.com/html/alerts/zeroday/20070328.html * Medidas de precaución A pesar de lo que mencionamos antes, Microsoft aconseja activar la lectura del correo electrónico como "Texto sin formato". Para ello, tanto en Outlook Express como en Windows Mail (Windows Vista), siga las siguientes instrucciones: 1. Seleccione el menú Herramientas, Opciones, lengüeta "Leer" 2. Marque la casilla "Leer todos los mensajes como texto sin formato". NOTA: Esta única protección no es efectiva en Outlook Express. Tampoco lo es en Windows Mail si se responde o reenvía un mensaje afectado por el exploit. También desactive el panel de vista previa de la siguiente manera: 1. Seleccione el menú Ver, Diseño 2. Desmarque la casilla "Mostrar panel de vista previa" En Thunderbird, abra el menú "Herramientas", "Preferencias", y en "Avanzadas", "Privacidad", "General", podrá hacer los cambios necesarios. Más información: http://kb.mozillazine.org/Plain_text_e-mail_%28Thunderbird%29 El exploit puede activarse también cuando se visualiza una carpeta conteniendo un HTML malicioso. Para evitar el contenido HTML en el explorador de Windows, siga estas instrucciones: 1. Abra Mi PC 2. Seleccione Herramientas, Opciones de carpetas 3. En la lengüeta "General", en Tareas, seleccione "Utilizar las carpetas clásicas de Windows". Se recomienda precaución al recibir correos electrónicos no solicitados, así como al visitar páginas sugeridas en enlaces de mensajes que no hemos pedido. El uso de un antivirus actualizado, es por supuesto imprescindible. * Relacionados: TrojanDownloader.Ani.G. Utiliza archivos .ANI http://www.vsantivirus.com/trojandownloader-ani-g.htm * Referencias: Microsoft Security Advisory (935423) Vulnerability in Windows Animated Cursor Handling http://www.microsoft.com/technet/security/advisory/935423.mspx Microsoft Security Advisory 935423 Posted http://blogs.technet.com/msrc/archive/2007/03/29/microsoft-security-advisory- 935423-posted.aspx Update on Microsoft Security Advisory 935423 http://blogs.technet.com/msrc/archive/2007/03/30/update-on-microsoft-security- advisory-935423.aspx CVE-2007-0038 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0038 [Full-disclosure] 0-day ANI vulnerability in Microsoft Windows (CVE-2007-0038) http://archives.neohapsis.com/archives/fulldisclosure/2007-03/0470.html Vulnerability In Windows Animated Cursor Handling http://www.determina.com/security_center/security_advisories/securityadvisory_0day_03 2907.asp Microsoft Windows ANI header stack buffer overflow http://www.us-cert.gov/cas/techalerts/TA07-089A.html Microsoft Windows animated cursor ANI header stack buffer overflow http://www.kb.cert.org/vuls/id/191609 Windows Animated Cursor Handling vulnerability - CVE-2007-0038 http://isc.sans.org/diary.html?storyid=2534 Ani cursor exploits against Microsoft E-mail clients - CVE-2007-0038 http://isc.sans.org/diary.html?storyid=2539 Microsoft Windows Animated Cursor Handling Vulnerability http://secunia.com/advisories/24659 Vulnerability Summary CVE-2007-1765 http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-1765 [Última modificación: 31/03/07 10:42 -0300] (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Mantenga actualizado su programa antivirus. De poco vale tener un antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. De todos modos, hoy en día las actualizaciones de la mayoría de los fabricantes son diarias y automáticas. Si tiene un producto que no se actualiza automáticamente, piense seriamente en cambiarlo. 2) No abra ningún mensaje ni archivo recibido a través del correo electrónico, que no haya sido solicitado, sin importar su remitente. Tampoco haga clic en enlaces sugeridos en aquellos correos o mensajes instantáneos que no solicitó. Ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Manténgase informado de cómo operan los virus, y de las novedades sobre éstos, alertas y anuncios críticos, en sitios como el nuestro. 4) No descargue nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceda como con los archivos adjuntos. Cópielos a una carpeta y revíselos con su antivirus debidamente actualizado, antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización. _____________________________________________________________ Video Soft es una empresa privada que desde hace más de 10 años se dedica a la seguridad informática, siendo líder en el tema a través de su portal VSAntivirus, el cuál es visitado diariamente por decenas de miles de usuarios de habla hispana en todo el mundo. Desde julio de 2004, Video Soft representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.nod32.com.uy/ _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ En memoria de mi amado padre (1914-2005) _____________________________________________________________ VSantivirus No 2409 Año 11, sábado 31 de marzo de 2007