Fallo de seguridad crítico en el visor de imágenes de Windows

Nivel: Crítico
Explotable remotamente: Sí
Explotable localmente: Sí

Descripción

El fallo de seguridad es producido por un error al mostrar imágenes en el formato Windows Metafile (WMF) por el visor de imágenes y fax de Windows (Windows Picture and Fax Viewer), que es el visor por defecto de dichas imágenes. Por tanto, si un usuario viese una imagen en dicho formato vía web, correo electrónico o de cualquier otra manera, está expuesto a que su sistema sea infectado.

Productos afectados

Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1
Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003
Microsoft Windows Server 2003 for Itanium-based Systems
Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
Microsoft Windows Server 2003 x64 Edition
Microsoft Windows 98
Microsoft Windows 98 Second Edition (SE)
Microsoft Windows Millennium Edition (ME)

Solución

Ningún parche ha sido distribuido aún, por lo que una solución manual es desregistrar el visor de imágenes y fax de Windows:
Inicio -> Ejecutar -> escriba "regsvr32 -u %windir%\system32\shimgvw.dll" -> OK

Para volver a registrarlo una vez se haya instalado un parche que lo solucione:
Inicio -> Ejecutar -> escriba "regsvr32 -i %windir%\system32\shimgvw.dll" -> OK

Explotación

Desgraciadamente es muy sencillo usar este fallo de seguridad y existen muchos ejemplos en la red. Posiblemente salga algún virus que se aproveche de este fallo. El único objetivo que se necesita para explotar el fallo es que el usuario final vea una imagen formateada. Por ejemplo:

  1. Creamos nuestra imagen a medida para que el sistema nos devuelva un intérprete de comandos de la máquina afectada.
    wmf-1
  2. Ponemos la imagen en un servidor web y forzamos a que un usuario vea dicha imagen con su navegador web, de tal manera que su ordenador es infectado, teniendo ya el control total.
    wmf-2
    wmf-3

Comprobación de explotacion

He creado una imagen WMF alterada que ejecuta el bloc de notas y muestra el texto: "Su ordenador es vulnerable al fallo de seguridad". Si desean comprobar si son vulnerables mediante este método, pueden descargarse la imagen aquí. Aunque a priori es inócua, en ningún caso me hago responsables de los daños que pudiera ocasionar, ya que es meramente una prueba del concepto.

Referencias

  1. Microsoft Security Advisory (912840)
  2. FrSIRT: Microsoft Windows WMF Handling Remote Code Execution Vulnerability
  3. US-CERT VU#181038: Microsoft Windows Metafile handler GDI vulnerability
  4. Secunia SA18255: Microsoft Windows WMF "SETABORTPROC" Arbitrary Code Execution
  5. SecurityFocus 16074: Microsoft Windows Graphics Rendering Engine WMF Format Unspecified Code Execution Vulnerability