ESET, fabricante de NOD32, ha publicado un parche provisorio para la vulnerabilidad WMF. Mientras tanto, Microsoft continúa recibiendo fuertes críticas por su demora en publicar el parche oficial.

La razón de que cada vez sean más quienes recomienden este tipo de solución, está en la peligrosidad del asunto, y en la gran cantidad de usuarios susceptibles al mismo.

"Muchos usuarios no se han dado cuenta del problema, y aún se quejan de la falta de funcionalidad que algunas de las medidas sugeridas en un primer momento, crean en el uso diario de su equipo", dice Jose Luis Lopez de VSAntivirus y director técnico de NOD32 Uruguay. "El tema es muy grave, y solo por milagro no han ocurrido grandes crisis en el tiempo en que esta vulnerabilidad ha sido descubierta y el día de hoy, como bien comprendimos quienes en la noche del 31 de diciembre nos enfrentamos a la aparición de un exploit modificado que en un primer momento, ningún antivirus detectó".

Sin embargo, los responsables del Centro de Respuesta de la Seguridad de Microsoft, en medio de la lluvia de críticas, han anunciado su parche para el próximo martes (10/ene/06). Tom Liston del Internet Storm Center dice: "En su visión atractiva del futuro, para Microsoft nada va a ocurrir en los próximos siete días".

Pero está ocurriendo. El mayor vector de ataque al momento actual, son las imágenes descargadas de sitios web, una lista enorme que crece cada día. Además, una herramienta capaz de crear este tipo de exploits ha sido hecha pública, y en teoría cualquier persona podría crear su malware "a medida".

"Si bien es cierto que esta herramienta no representa al momento actual una gran amenaza, porque posee algunos fallos y en realidad no funciona como debería, también es cierto que cada vez recibimos más información de sitios que utilizan el exploit para convertir las máquinas de los usuarios en zombis, por medio de troyanos que son descargados en su PC", dice Lopez. "Una de las grandes ventajas que por ahora tenemos, es que los malos no han creado un troyano totalmente nuevo para sacar provecho de este fallo, y utilizan los ya existentes, como mucho recomprimiéndolos para tratar de eludir la detección de los antivirus".

"Pero nadie, ni Microsoft, puede afirmar tan tranquilamente que nada ocurrirá hasta que el parche oficial sea publicado. Cada día que pasa, el medidor de presión aumenta, y nos podemos ver enfrentados a algo mucho más grave de lo que algunos piensan", afirma Lopez.

Por su parte, Ignacio M. Sbampato, vicepresidente de ESET para Latinoamérica comenta: "Es que, dada la gran cantidad de usuarios que navegan por Internet utilizando el sistema operativo Windows, el alcance que pueden tener los troyanos como los antes mencionados es altísimo. Esto pone en riesgo la seguridad de miles de miles de equipos y redes informáticas, y amerita una rápida respuesta y solución."

Si bien es cierto que el exploit actual, afecta directamente solo a usuarios de Windows XP y Windows Server 2003, los elementos vulnerables existen en todos los Windows, incluso los publicados antes de 1990, como afirma F-Secure. Con toda la información disponible actualmente en Internet para el que quiera buscarla, nadie puede asegurar que alguien no encuentre la forma de explotar el problema en otros Windows.

El parche original creado por Ilfak Guilfanov, un reconocido experto informático, y promocionado enfáticamente por el Internet Storm Center del Sans Institute (ver "Parche NO oficial para la vulnerabilidad WMF", [url]http://www.vsantivirus.com/vul-wmf-parche.htm)[/url], funciona solo en Windows 2000, Windows XP de 32 y 64-bit, y en Windows Server 2003.

Estos Windows poseen la biblioteca del visor de imágenes y fax que el exploit utiliza como lanzador de su código maligno, pero el problema está en las características de la interfase gráfica de Windows (Windows Graphic Display Interface o GDI), un elemento presente en todos los Windows, desde las versiones de 16-bit.

"Lo que hace diferente al parche provisorio publicado por ESET, es que habilita la protección para este elemento, en todos los Windows actualmente instalados en millones de computadoras del mundo entero, desde el 98 al Server 2003 (aunque no funciona con las versiones de 64-bit de Windows XP)", informa Lopez. "Además, es un parche dinámico, es decir, no requiere el reinicio del equipo al ser instalado, a diferencia del parche de Guilfanov."

"Como el parche anterior, tampoco modifica o toca el código original de Windows, pero a diferencia de aquél, no utiliza solamente la clave del registro 'AppInit_DLLs' para ser cargada en el espacio de memoria de las direcciones de los procesos, de tal modo que puede funcionar no solo en XP", dice Paolo Monti, responsable de NOD32 Italia, y creador de este parche. "En lugar de ello, utiliza hooks (ganchos) dinámicos de las APIs de Windows. El parche se instala en modo silencioso, usted solo recibe un mensaje de advertencia si falla la instalación o inyección del proceso", dice Monti.


* Las principales ventajas y diferencias son:

- Funciona en Windows 98, Me, XP, 2000 y 2003

- Es completamente dinámico. No es necesario reiniciar el equipo para ejecutarlo o desinstalarlo.

- Se puede descargar de memoria con el parámetro /u

- También se puede desinstalar desde Agregar o quitar programas.

- Puede dejar de utilizarse la solución de desregistrar el componente SHIMGVW.DLL del visor de imágenes de Windows, que tan molesto es para quienes hacen uso extensivo de la visualización de imágenes en su PC.


* Descarga del parche

El parche de ESET puede ser descargado de la siguiente dirección:

[url]http://www.nod32.it/getfile.php?tool=wmfpatch[/url]

NOTA: Si ya tiene instalado el parche de Guilfanov, debe desinstalarlo antes, desde "Agregar o quitar programas" del panel de control. También antes, debe registrar el componente SHIMGVW.DLL. Esto puede hacerse muy fácilmente con la siguiente utilidad:

[url]http://www.videosoft.net.uy/wmf-prot.vbs[/url]

Descargue WMF-PROT.VBS en su escritorio, haga clic en él, y responda NO en la ventana con el siguiente mensaje:

"Pulse Si para desregistrar No para registrar"

Luego de ello, ejecute el parche de ESET.

Para desinstalar este parche en el momento que lo desee, o para instalar la solución de Microsoft cuando esté disponible, simplemente seleccione Inicio, Panel de Control, Agregar o quitar programas, y desinstale el programa "GDI32 - WMF Match" que aparece en el listado de programas instalados.

Fuente : V S Antivirus

__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad