Nuevo exploit WMF, más malware, y parche no oficial

Mientras se suceden nuevos incidentes protagonizados por exploits y malware basados en la vulnerabilidad WMF que afecta a Windows, y a la falta de un parche oficial por parte de Microsoft, un reputado programador ha publicado una solución.

En los últimos días no han dejado de aparecer nuevos ataques en forma de malware que aprovechan la vulnerabilidad en el procesamiento WMF. Destaca la publicación de un nuevo exploit mucho más potente, capaz de presentarse bajo otros formatos de imágenes y generar código polimórfico que dificulta su detección genérica por parte de los antivirus, IDS, y resto de soluciones basadas en firmas

Uno de los últimos especímenes que hacen uso de este exploit fue detectado en VirusTotal a las 1:30 horas del día 1 de enero de este recién estrenado 2006. Precisamente se trata de un troyano que fue enviado de forma masiva por correo electrónico y que simulaba una felicitación para el nuevo año. El archivo adjunto, una aparente e inofensiva imagen en formato JPG, "HappyNewYear.jpg", compromete el sistema con tan sólo visualizarlo.

En el momento de recibir la muestra en VirusTotal tan sólo Symantec lo reconocía como Bloodhound.Exploit.56. Al escribir estas líneas ya lo detectan: AntiVir [EXP/IMG.WMF.A]
Avira [EXP/IMG.WMF.A]
BitDefender [Exploit.Win32.WMF-PFV]
ClamAV [Exploit.WMF.B]
eTrust-Iris [Win32/Worfo!Trojan]
eTrust-Vet [Win32/Worfo]
Ewido [Not-A-Virus.Exploit.Win32.IMGWMF.a]
Fortinet F-Prot [security risk or a "backdoor" program]
Kaspersky [Exploit.Win32.IMG-WMF.a]
McAfee [Exploit-WMF]
Sophos [Troj/DownLdr-QB]
Symantec [Backdoor.Bifrose]
TheHacker [Exploit/WMF]
VBA32 [Exploit.Win32.IMG-WMF.a]

Mientras tanto ha surgido una iniciativa particular, a modo de parche temporal no oficial, por parte de Ilfak Guilfanov, un reconocido desarrollador, autor del popular desensamblador IDA. El parche de Ilfak, además de corregir la vulnerabilidad, no afecta a la funcionalidad del sistema, por lo que las imágenes seguirán visualizándose sin problemas.

a la espera de la actualización oficial de Microsoft, nos unimos a la recomendación de F-Secure y SANS, entre otros, y aconsejamos instalar el parche de Ilfak, disponible para Windows 2000, XP 32-bit, XP 64-bit, y Windows Server 2003 en http://www.hexblog.com/security/files/wmffix_hexblog13.exe

Adicionalmente Ilfak ha publicado una utilidad que permite conocer si nuestro sistema es o no vulnerable, disponible en la dirección: http://www.hexblog.com/security/files/wmf_checker_hexblog.exe