|
 |
diumenge, 1 / gener / 2006 |
[Windows IT Pro] Windows Metafile Vulnerability: From Bad To Worse. La vulnerabilitat WMF, molt pitjor del que fins ara coneixíem.
Some experts say the recently announced Windows metafile vulnerability isn't so bad. However, new exploits demonstrate its unfortunate potential.
(...)
The danger of this vulnerability resides in the fact that exploits can readily be disguised as many different image file types. If a person views such a file, opens a folder containing such a file, or another program (such as search engine indexing software, or Microsoft Paint) accesses the file then the exploit would be launched in the security context of the currently logged in computer user. Compounding the problem is the fact the countless people are away enjoying the worldwide New Year holiday, which means they might not find out about the problem before they stumble into a trap centered around an exploit
L'article cita un aspecte que fins ara no havia pensat: tots els que aquests dies estan de vacances segurament no saben res d'aquest problema i se'l trobaran en tornar de vacances... potser massa tard! Abans de prendre les primeres mesures ja estaran infectats.
|
23:33 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
[Jeremy Zawodny] You Never Forget Your First Web Server, la història del primer servidor web que va muntar en Jeremy Zawodny a mitjans de 1996. Jo, en canvi, no me'n recordo de quin va ser el primer servidor web que vaig muntar... no se pas si va ser a Servicom (l'any 1995) o bé a QSystems (l'any 1996).
Si va ser a Servicom, doncs la plataforma era Solaris i el servidor web era el Netscape. Si va ser a QSystems, llavors el primer servidor web va ser un WebSTAR sota Mac OS 7, per posteriorment migrar a IIS en Windows NT 3.51 i acabar amb Apache en Linux 2.0.
També recordo que, l'any 1997, quan vaig entrar a MSS em vaig trobar un servidor web NCSA (!!!) que ràpidament vaig migrar a Apache. La plataforma també era Linux 2.0.
Bé, s'ha de reconèixer que aquests deu anys li han funcionat més bé al Jeremy que no pas a mi... ;(
|
23:03 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
Preguntes més freqüents sobre la vulnerabilitat WMF
- Per què és aquest un tema tant important?
La vulnerabilitat WMF utilitza imatges (en format WMF) per tal d'executar codi arbritrari. Aquest codi s'executarà només visualitzant la imatge. En la majoria de les situacions no cal que l'usuari faci cap acció i, fins i tot, el sol fet de tenir la imatge emmagatzemada a l'ordinador pot fer que el codi que conté la imatge s'executi en el moment que és indexat per algun programa de catalogació. La visualització del directori des de l'Explorer de Windows utilitzant l'opció de veure una representació de les imatges també farà que s'executi el codi.
- Es millor utilitzar el Firefox o l'Internet Explorer?
Amb l'Internet Explorer es visualitzarà la imatge i s'executarà l'exploit inclòs sense cap avís a l'usuari. Les versions més noves de Firefox demanaran confirmació a l'usuari abans d'obrir la imatge. No obstant, això ofereix en molts entorns una protecció més aviat baixa atès que es considera que són imatges i, per tant, es consideren 'segures'.
- Quines versions de Windows estan afectades?
Totes. Windows 2000, Windows XP (amb SP1 i SP2), Windows 2003. Totes elles estan afectades en major o menor mesura. El Mac OS X, Unix i BSD no estan afectats.
Nota: Si continues utilitzant Windows 98 o Windows ME aquest és un moment decisiu: creiem (encara que no hem comprovat) que aquestes versions també són vulnerables i Microsoft no publicarà cap actualització. Les opcions per prevenir el problema són més aviat limitades i caldria considerar molt seriosament actualitzar-se a una versió més nova.
- Què puc fer per protegir-me?
- Microsoft encara no ha publicat cap actualització. S'ha publicat un pegat no oficial fet per Ilfak Guilfanov. L'hem revisat i provat; la versió provada la podeu trobar a la web de l'ISC. Volem donar les gràcies a Ilfak Guilfanov per desenvolupar el pegat.
- Es pot deregistrar la DLL afectada.
- Els antivirus ofereixen algunes proteccions.
Per deregistrar la DLL:
- Vés al menú Inicia, selecciona Executa i escriu "regsvr32 -u %windir%\\system32\\shimgvw.dll" (sense les cometes). Fes clic a d'acord.
- Veuràs un quadre de diàleg que indica que el procés de deregistre ha funcionat.
El nostre consell és realitzar les dues operacions: deregistrar la DLL i també instal·lar el pegat no oficial
- Què fa el pegat no oficial
La DLL wmfhotfix.dll s'associa a qualsevol procés que carrega user32.dll. Aquesta DLL modifica (en memòria) la funció Escape() de la DLL gdi32.dll de forma que s'ignori el paràmetre SETABORTPROC (0x09). D'aquesta forma els programes Windows poden visualitzar les imatges WMF sense executar el codi de l'exploit. La versió disponible a la web de l'ISC ha estat revisada a nivell de codi font i verificada contra totes les versions conegudes de l'exploit. Funciona amb Windows XP (SP1 i SP2) i amb Windows 2000.
- Deregistrant la DLL (i no instal·lant el pegat no oficial) estic protegit?
Ajuda, però no dóna garanties totals. Ho volem explicar ben clarament: tenim sospites que el simple fet de deregistrar la DLL shimgvw.dll no sempre és possible. La DLL pot ser registrada per altres processos, bé amb finalitats malèvoles o per la instal·lació d'algun programa. Igualment poden produir-se situacions en la que al tornar a registrar la DLL en un sistema en funcionament que ja té l'exploit es provoqui l'execució del mateix. A més, és possible que hi hagi altres situacions que permetin l'atac de la funció Escape() de gdi32.dll. Fins el moment en que Microsoft publiqui un pegat, recomanem la instal·alció del pegat no oficial, a més de deregistrar la DLL.
- Puc esborrar la DLL?
No és una mala idea. Ara bé, la funció de protecció de fitxers de Windows probablement la tornarà a copiar al disc. Caldrà desactivar aquesta funció de Windows abans de res. A més, quan Microsoft publiqui el pegat caldrà tornar a habilitar la DLL. De fet, canviar-li el nom segurament és millor que no pas esborrar el fitxer.
- Haig de bloquejar les imatges WMF?
És una mesura que ajuda, però no és suficient. Els fitxers WMF són reconeguts pel seu format i no pas per una extensió en particular. Els fitxers poden tenir qualsevol nom i extensió, o bé anar dins de documents de Word o d'altres programes.
- Què és DEP (Data Execution Protecion) i com m'ajuda?
Dins de Windows XP SP2, Microsoft va incloure el que s'anomena DEP. És un sistema de protecció davant un gran nombre d'exploits doncs evita l'execució de segments de dades de memòria. Ara bé, per funcionar adequadament, necessita de suport de hardware específic. Alguns processadors, com els AMD de 64-bit inclouen els components necessaris per fer que DEP eviti aquest exploit.
- Els antivirus poden protegir-me davant aquests exploits?
Actualment hi ha diverses versions de l'exploit que no són detectades pels programes antivirus. Confiem en que no trigaran molt en incorporar les signatures necessàries, però serà força difícil reconèixer totes i cada una de les versions de l'exploit. Estar al dia amb l'antivirus ajuda, però no és suficient.
- Com pot entrar un fitxer WMF malèvol al meu ordinador?
Hi ha nombrosos mètodes: imatges associades a missatges, pàgines web, missatgeria instantània i molts altees mitjans. També a través dels programes P2P i altres fonts.
- N'hi ha prou amb informar als usuaris que no visitin llocs que no siguin de confiança?
No, és una ajuda però no és ni de bon tros suficient. Coneixem com a mínim un lloc força conegut i de confiança (knoppix-std.org) que ha estat atacat. Els atacants, un cop aconseguit el control, han configurat la pàgina web per tal que un marc redireccionés els usuaris per visualitzar un fitxer WMF amb l'exploit. En el passat, s'han utilitzat els "llocs de confiança" amb finalitats com aquesta.
- Quin és l'autèntic problema amb les imatges WMF?
Les imatges WMF són força diferents de la resta. En lloc de contenir únicament instruccions sobre "el color d'aquest píxel", les imatges WMF poden executar procediments externs. Un dels mecanismes per executar aquests procediments externs és el que s'utilitza per executar l'exploit.
- Haig d'utilitzar quelcom com "dropmyrights" per reduir l'abast de l'exploit?
És una mesura molt útil. Mai s'hauria d'utilitzar un usuari amb privilegis d'administrador per la feina diària. No obstant això només limita l'impacte de l'exploit i no el prevé. D'altra banda, la navegació per la web només és una forma d'executar l'exploit. Si la imatge es troba ja al vostre ordinador i un administrador la visualitza, s'executarà l'exploit amb tot l'abast.
- Els meus servidors són vulnerables?
Possiblement. Permets l'enviament d'imatges? Correu electrònic? Es realitza una indexació de les imatges? S'utilitza un navegador al servidor? Resumint: si algú pot enviar una imatge al servidor i si la DLL vulnerable hi té accés, el servidor també serà vulnerable.
- Què puc fer a la meva defensa perifèrica / tallafocs per protegir la meva xarxa?
Poca cosa. Un servidor proxy que elimini totes les imatges de les pàgines web? Segurament els usuaris no l'acceptaran. Com a mínim bloqueja les imatges WMF (veure el que hem indicat abans sobre les extensions). Si el proxy té alguna funcionalitat de detecció de virus, el pot detectar. El mateix pels servidors de correu. Com més restrictiu siguis amb les connexions cap a l'exterior que poden iniciar els usuaris de la xarxa, millor. Monitoritza l'activitat de les estacions de treball per determinar si alguna està infectada.
- Puc utilitzar un detector d'intrusions per detectar l'exploit?
Gairebé tots els fabricants d'IDS estan treballant en signatures. Contacta amb el teu proveïdor per a més detalls. Si fas servir SNORT, a Bleedingsnort.org trobaràs signatures actualitzades.
- M'ha afectat l'exploit. Què puc fer?
Poca cosa :-(. Depèn molt de la versió concreta de l'exploit que t'ha afectat. Molts d'ells descarreguen components addicionals. Pot ser molt difícil, fins i tot impossible, trobar totes les peces. Microsoft dóna suport gratuït en aquestes situacions (només als Estats Units).
- Microsoft té informació sobre això?
http://www.microsoft.com/technet/security/advisory/912840.mspx
En el moment d'escriure això, encara no hi ha cap actualització.
- Quina informació dóna el CERT?
http://www.kb.cert.org/vuls/id/181038
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-4560
|
20:53 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
[Internet Storm Center] WMF FAQ
- Why is this issue so important?
The WMF vulnerability uses images (WMF images) to execute arbitrary code. It will execute just by viewing the image. In most cases, you don't have click anything. Even images stored on your system may cause the exploit to be triggered if it is indexed by some indexing software. Viewing a directory in Explorer with 'Icon size' images will cause the exploit to be triggered as well.
- Is it better to use Firefox vs. Internet Explorer?
Internet Explorer will view the image and trigger the exploit without warning. New versions of Firefox will prompt you before opening the image. However, in most environments this offers little protection given that these are images and are thus considered 'safe'.
- What versions of Windows are affected?
All. Windows 2000, Windows XP, (SP1 and SP2), Windows 2003. All are affected to some extent. Mac OS-X, Unix or BSD is not affected.
|
13:38 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
 [F-Secure] New WMF exploit attacks via email. Vigileu amb els missatges de felicitació pel nou any, doncs algun en en realitat són imatges WMF que, en accedir-hi, instal·la un troià a la vostra màquina. I per accedir-hi s'entèn obrir-la, obrir la carpeta on hi és (amb visualització prèvia) o que el Google Desktop l'indexi).
Podeu identificar els missatges amb aquesta imatge pel tema Happy New Year, el text del missatge és picture of 2006 i el fitxer associat s'anomena HappyNewYear.jpg (MD5: DBB27F839C8491E57EBCC9445BABB755). Més informació sobre aquesta imatge a F-Secure.
|
12:32 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
L'any 2005 la meva màquina, on tinc aquest weblog i quands.info, va rebre un total de 10.983.299 hits i el servidor web va transmetre un volum de 111.890.153 KB.
No està malament per a un PC bastant antic (Dell Optiplex GXpro amb processador Pentium Pro a 180 MHz i 128 MB de memòria; adquirit de segona ma, sent abans propieta d'una companyia petrolera noruega) i una línia ADSL. ;)
|
02:24 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
Si per alguna cosa tenia ganes que arribés l'any 2006 és per la prohibició de fumar a la feina!!!!
Així doncs, aquest és un weblog per a no fumadors ;)
|
01:44 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
Cada mes canvio el motto del weblog... els de l'any 2005 han estat:
- Gener: «Sometimes we're strong, sometimes we're wrong, sometimes we cry» (Van Morrison)
- Febrer: «Lasciate ogni speranza, voi ch'entrate» (Dante)
- Març: «Wenn ihr's nicht fühlt, ihr werdet's nicht erjagen» (Göethe)
- Abril: «There's a dream where the contents are visible, where the poetic champions compose» (Van Morrison)
- Maig: «Just try to see in the dark, just try to make it work to feel the fear before you're here» (The Cure)
- Juny: «El meu país és tant petit que quan el sol se'n va a dormir mai no està prou segur d'haver-lo vist» (Lluís Llach)
- Juliol: «No em fan por els ordinadors. Em fa por la seva absència» (Isaac Asimov)
- Agost: «I can't listen to that much Wagner. I start getting the urge to conquer Poland» (Woody Allen)
- Setembre: «The Duke will die before these eyes and he'll know, HE'LL KNOW, that it is I, Baron Vladimir Harkonnen, who encompasses his doom!» (Dune)
- Octubre: «I don't know half of you half as well as I should like, and I like less than half of you half as well as you deserve» Bilbo Baggins, a «The Lord of the Rings. The fellowship of the Ring»
- Novembre: «I am the beginning, the end, the one who is many» Queen of Borg a «Star Trek: First Contact»
- Desembre: «There's a dream where the contents are visible, where the poetic champions compose. You have crossed many waters to be here. You have drank of the fountain of innocence and experienced the long cold wintry years» «Queen of the Slipstream», Van Morrison
Tot va començar com un cosa divertida i així continua... quan em trobo amb una cita que em fa gràcia la guardo i cada començament de mes la utilitzo com a lema del weblog.
|
00:48 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
© Copyright 2003-2006 Xavier Caballe.  . Si no s'indica expressament el contrari, el material publicat en aquest weblog es distribueix d'acord amb la llicència Creative Commons. El contingut és responsabilitat única i exclusivament del seu autor i no té cap relació amb les seves activitats professionals.
|
 |
 |
 |
 |
Contingut actualitzat
Categories
Darrers comentaris
Arxiu
Contingut antic
(ja no s'actualitza)
Versions anteriors
d'aquesta pàgina
|
 |
 |
 |
 |
|
