| Exploração da vulnerabilidade WMF em sistemas Microsoft WindowsAlerta do CAIS 28122005 [CAIS, 28.12.2005-17:40, revisão 01] O CAIS ficou ciente em 28/12/05 de um novo exploit para a vulnerabilidade no sistema de renderização de imagens do Microsoft Windows (WMF - Windows Metafile), conforme descrito anteriormente no boletim MS05-053. De acordo com fontes como Secunia e F-Secure, este exploit é capaz de explorar a vulnerabilidade até mesmo em sistemas totalmente atualizados e com Service Pack 2 instalado. Ainda de acordo com a F-Secure, para um sistema vulnerável ser infectado basta que o usuário acesse algum site que disponibilize uma imagem WMF que contenha o exploit, ou então apenas visualize com o Windows Explorer um diretório contendo a imagem infectada. Notem que usuários do Internet Explorer serão infectados automaticamente após a imagem ser visualizada, e usuários de outros navegadores, tais como o Firefox, irão receber um aviso perguntando se a imagem deve ser visualizada com o MS Windows Picture and Fax Viewer. Se a imagem for visualizada ou baixada para o computador, ele será infectado automaticamente. Após a infecção, uma série de spywares serão instalados na máquina comprometida. Sistemas afetados (Secunia):
Correções disponíveis: De acordo com a F-Secure, ainda não existe uma correção para este problema. Como solução paliativa, recomenda-se aplicar filtros bloqueando o acesso aos sites descritos no weblog da F-Secure (veja referências abaixo), e também aplicar filtros bloqueando acesso a qualquer arquivo do tipo WMF em seus proxies web e filtros SMTP. Além disso, a Microsoft recomenda que seja ativado a proteção de memória no Windows XP com Service Pack 2 (DEP - Data Execution Prevention), de acordo com o que está descrito no endereço abaixo: Com esta proteção ativada, o exploit não funcionará mais, e uma mensagem de erro será exibida ao usuário. Mais informações:
O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Os Alertas do CAIS também são oferecidos no formato RSS/RDF: | Contato com o Cais: +55 (19) 3787-3300 |