Análisis de la vulnerabilidad en ficheros ANI de Microsoft

El error en la carga de punteros animados ha provocado una oleada de malware que aprovecha la vulnerabilidad, y Microsoft se ha visto obligada a publicar un parche fuera de su ciclo habitual de los segundos martes de cada mes.

En Hispasec, hemos analizado en un documento técnico (white paper) las causas de la vulnerabilidad de punteros animados y cómo la aprovecha el malware para conseguir la ejecución de código. Además, en el documento que hemos creado, se puede observar el número de muestras víricas recibidas en VirusTotal que intentan aprovechar la vulnerabilidad. En 14 días, se han recibido más de mil muestras únicas (según hash MD5). Esto implica una media de tres nuevas muestras (o variantes) creadas cada hora durante las últimas dos semanas. Esta cifra solo incluye lo recibido en VirusTotal, sin duda el número real que circula en Internet es mucho mayor.

Además, hemos preparado una prueba de concepto que aprovecha la vulnerabilidad y permite la descarga y ejecución de código con sólo visitar una página web. El archivo de prueba que hemos preparado se descarga en el “documents and settings” del usuario, con nombres aleatorios compuestos por una sola letra (con el formato X.exe). El programa descargado es una aplicación inofensiva alojada en nuestros servidores, que simula que la pantalla se derrite. Cuando se cierra esta aplicación, el proceso explorer.exe puede ser reiniciado, sin causar perjuicio alguno en el sistema. Después de realizar la prueba, si se es vulnerable, se recomienda borrar el archivo descargado (situado habitualmente en c:documents and settingsusuario). Algunos antivirus detectarán la página que aprovecha la vulnerabilidad como troyano, y el programa como “joke”, o broma, pero insistimos en lo inocuo de la prueba de concepto y el programa.

Si se es vulnerable y el programa llega a ejecutarse, se recomienda encarecidamente actualizar el sistema con el boletín MS07-017 desde Windows Update o directamente desde la URL

http://www.microsoft.com/technet/security/Bulletin/MS07-017.mspx

Con esta prueba de concepto, se pretende demostrar lo grave de la vulnerabilidad. En lugar de una aplicación inofensiva, que insistimos algunos antivirus pueden detectar como “joke” (broma), un atacante podría utilizar una página web, o un mensaje con formato HTML, para distribuir virus, gusanos o troyanos que infectarían de forma automática y transparente al usuario. Teniendo en cuenta los datos recibidos en VirusTotal, la vulnerabilidad a día de hoy sigue siendo aprovechada por una gran cantidad de malware que circula por la red y no todos los antivirus son capaces de detectar todas las muestras creadas. La solución más práctica pasa por actualizar el sistema con los últimos parches.

Los enlaces directos a la descarga de los documentos (en castellano e inglés) son:

http://www.hispasec.com/laboratorio/vulnerabilidad_ani.pdf

http://www.hispasec.com/laboratorio/vulnerabilidad_ani_en.pdf

La prueba de concepto está alojada en: (ATENCIÓN: Si se visita con Microsoft Windows e Internet Explorer sin el parche MS07-017, descargará y ejecutará una aplicación que simula que la pantalla se derrite. Es posible que después de esto el proceso explorer.exe se reinicie): http://blog.hispasec.com/laboratorio/recursos/ani/exploit.html

Para aquellos lectores que ya hayan actualizado su sistema y no sean vulnerables, pueden visualizar un vídeo en el que se muestra el efecto del exploit en:

http://www.hispasec.com/laboratorio/video_ani.htm