RNP > Serviços > Segurança em redes > Alertas do CAIS

Exploração da vulnerabilidade WMF em sistemas Microsoft Windows

Alerta do CAIS 28122005

[CAIS, 28.12.2005-17:40, revisão 01]

O CAIS ficou ciente em 28/12/05 de um novo exploit para a vulnerabilidade no sistema de renderização de imagens do Microsoft Windows (WMF - Windows Metafile), conforme descrito anteriormente no boletim MS05-053. De acordo com fontes como Secunia e F-Secure, este exploit é capaz de explorar a vulnerabilidade até mesmo em sistemas totalmente atualizados e com Service Pack 2 instalado.

Ainda de acordo com a F-Secure, para um sistema vulnerável ser infectado basta que o usuário acesse algum site que disponibilize uma imagem WMF que contenha o exploit, ou então apenas visualize com o Windows Explorer um diretório contendo a imagem infectada.

Notem que usuários do Internet Explorer serão infectados automaticamente após a imagem ser visualizada, e usuários de outros navegadores, tais como o Firefox, irão receber um aviso perguntando se a imagem deve ser visualizada com o MS Windows Picture and Fax Viewer. Se a imagem for visualizada ou baixada para o computador, ele será infectado automaticamente.

Após a infecção, uma série de spywares serão instalados na máquina comprometida.

Sistemas afetados (Secunia):

• Microsoft Windows Server 2003 Datacenter Edition
• Microsoft Windows Server 2003 Enterprise Edition
• Microsoft Windows Server 2003 Standard Edition
• Microsoft Windows Server 2003 Web Edition
• Microsoft Windows XP Home Edition
• Microsoft Windows XP Professional

Correções disponíveis:

De acordo com a F-Secure, ainda não existe uma correção para este problema. Como solução paliativa, recomenda-se aplicar filtros bloqueando o acesso aos sites descritos no weblog da F-Secure (veja referências abaixo), e também aplicar filtros bloqueando acesso a qualquer arquivo do tipo WMF em seus proxies web e filtros SMTP.

Além disso, a Microsoft recomenda que seja ativado a proteção de memória no Windows XP com Service Pack 2 (DEP - Data Execution Prevention), de acordo com o que está descrito no endereço abaixo:

• http://www.microsoft.com/brasil/security/guidance/prodtech/ business/depcnfxp.mspx

Com esta proteção ativada, o exploit não funcionará mais, e uma mensagem de erro será exibida ao usuário.

Mais informações:

• Vulnerabilidades no Sistema de Renderização de Imagens do Windows (MS05-053)
• F-Secure Weblog - Wednesday, December 28, 2005 - Be careful with WMF files
• F-Secure Weblog - Wednesday, December 28, 2005 - New WMF 0-day exploit
• SA18255 - Microsoft Windows WMF Handling Arbitrary Code Execution
• SANS ISC - Handler's Diary December 28th 2005 - Windows WMF 0-day exploit in the wild
• SANS ISC - Handler's Diary December 28th 2005 - Update on Windows WMF 0-day
• Microsoft Brasil Security
• Technet Brasil - Central de Segurança

O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.

Os Alertas do CAIS também são oferecidos no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais