Patch Oficial De Segurança Para Arquivos .wmf

Falha em arquivos de imagem expõe Windows
Quinta-feira, 29 dezembro de 2005 - 11:22
IDG Now!

Sistemas protegidos rodando Windows XP e Windows Server 2003 podem ser atacados com sucesso por hackers, empresas de segurança confirmaram na terça e na quarta-feira (28/12).

Os ataques podem ocorrer graças a uma vulnerabilidade na forma como esses sistemas operacionais lidam com arquivos gráficos .wmf (Windows Metafile) corrompidos.

As empresas descrevem a falha como "dia zero", porque os hackers estão aproveitando para tirar vantagem dela enquanto não há patch ou técnica oficial para driblá-la.

Os criminoso virtuais podem rodar o código que quiserem no sistema comprometido, e até mesmo as máquinas que tem todos os patches disponíveis instalados estão desprotegidas, segundo diversos analistas.

Segundo as empresas de segurança, o usuário pode ser atacado se tomar alguma das seguintes ações: visitar sites que hospedem a exploração da falha; abrir um arquivo malicioso .wmf nos visualizadores de imagem Windows Picture e Fax Viewer; ou pré-visualizar um arquivo .wmf no Windows Explorer.

Na íntegra: http://idgnow.uol.co...nnelID=21080105

A falha é dita como EXTREMAMENTE CRITICA pelo site da Secunia.
http://secunia.com/advisories/18255/

Em novembro passado, a Microsoft divulgou um boletim sobre um falha Grave tambem sobre o processamento de arquivos WMF, porém essa ja tem correção.
http://www.microsoft...s/ms05-053.mspx
e agora mais essa outra em menos de 60 dias.... ?

Isso me cheira a um lance que eu sempre suspeitei... eles passaram somente a vassoura, esperando que não fossem encontrar mais nenhuma sugeira por ali...

Interessante é que essa falha afeta as versões mais recentes dos sistemas da Microsoft... XP e 2003.
http://www.microsoft...ory/912840.mspx

É isso e preocupante, o jeito e esperar por um Fix... mais um.
o mais interessante e q não existe uma correção ainda, apesar dessa vunerabilidade te sido publicada hoje acredito que a MS já devia ou ao menos ter ideia dela antes. pois não se trata de um tipo novo.
esse é um dos pontos q o a MS ganha muitos clientes... com a politica do tipo "O menor tempo para corrigir uma falhar desde qndo ela é encontrada, em questão de horas já esta disponivel o fix no windows update."

Falha do Windows não pode esperar correção da MS, dizem especialistas
Segunda-feira, 2 janeiro de 2006 - 11:45
IDG Now!

Os usuários do sistema operacional Windows devem instalar uma correção de segurança não oficial imediamente e não esperar pelo boletim mensal da Microsoft, aconselharam especialistas de segurança do Internet Storm Center (ISC) do SANS Institute.

A recomendação do SANs segue uma nova onda de ataques que explora uma falha na forma como o Windows, desde a versão 98 até a XP, lidam com arquivos gráficos .wmf (Windows Metafile) corrompidos.

Um dos ataques chega numa mensagem de e-mail com o título de "happy new year" (feliz ano novo), com um arquivo "HappyNewYear.jpeg", que na verdade, é um arquivo WMF, segundo várias companhias de segurança, incluindo a iDefense e a F-Secure.

Na íntegra: http://idgnow.uol.co...nnelID=21080105

Será que os "especialistas" sabem de algo que nós não sabemos? *rs*

Segundo oque está no site da Microsoft. de imediato mesmo não tem nenhum HotFix mesmo

Microsoft will continue to investigate these reports and provide additional guidance depending on customer needs.

Customers are encouraged to keep their anti-virus software up to date. The Microsoft Windows AntiSpyware (Beta) can also help protect your system from spyware and other potentially unwanted software. Customers can also visit Windows Live Safety Center and are encouraged to use the Complete Scan option to check for and remove malicious software that take advantage of this vulnerability. We will continue to investigate these public reports.

acredito que está naquele filosofia "o problema existe, não temos como resolver, então se vire, atualize seus antivirus, firewall, Anti Spyware... e o S.O tambem".

** EDIT **
Procurando na internet, axei uma possivel correção, para essa falha, mas não e da Microsoft e sim de 3º. o arquivo pode ser baixado nesse link
wmffix_hexblog13.exe - [286kb]
instalei e testei aqui na maquina q trabalho (Windows 2000 Service pack 4) e até agora não mostrou qualquer problemas.
esse software ja foi testa em windows XP, 2000 e 2003.
como diz no site do desenvolvedor usem por conta, até q a microsoft lance algum Hot Fix.
Hexblog.com
http://www.hexblog.c...2/wmf_vuln.html

Skarloff...

O que quer dizer "Account for domain hexblog.com has been suspended" quando tento entrar no endereço do seu post anteior???

http://www.hexblog.c...2/wmf_vuln.html

Será que eles não gostaram do cara ter dado uma solução para o problema mais rápido que a própria M$ ou tem mais alguma coisa nesse problema que a gente não sabe?! Inclusive, tal correção também foi reportada em uma outra notícia no IDG Now! Mas consta o mesmo problema. Uma outra forma de resolver o problema é desativar a biblioteca responsável pela manipulação dos arquivos WMF, veja como no link abaixo.

http://idgnow.uol.co...nnelID=21080105

Negócio muito estranho.

Nossa agora que vi, realmente e estranho, não sabia que tinha acontecido tal coisa. bom eu tenho uma copia da correção aqui caso alguem queira eu disponibilizo para download.
Até ontem na hora no meu post o blog estava no AR.
axei o link do blog nessa noticia do no site da abril

Especialistas sugerem correção do Windows sem MS
SÃO PAULO – O Internet Storm Center (ISC) do Sans Institute divulgou nota sugerindo que usuários não esperem uma correção da Microsoft e corrijam uma falha do Windows com soluções de terceiros.

Integra: http://info.abril.co.../02012006-3.shl

Eu fiz o q o IDG Now falou:
Para fazer isso, vá ao Menu Iniciar e clique em Executar, colando o comando "regsvr32 -u %windir%\system32\shimgvw.dll" (sem as aspas) na linha e apertando o botão OK.

So q agora eu nao consigo ver as miniaturas das fotos. tem como voltar com esse arquivo??


Para baixar o Fix não oficial:
http://handlers.sans...x_hexblog13.exe

Eu fiz o q o IDG Now falou:
Para fazer isso, vá ao Menu Iniciar e clique em Executar, colando o comando "regsvr32 -u %windir%\system32\shimgvw.dll" (sem as aspas) na linha e apertando o botão OK.

So q agora eu nao consigo ver as miniaturas das fotos. tem como voltar com esse arquivo??


Para baixar o Fix não oficial:
http://handlers.sans...x_hexblog13.exe

Voce já o registrou denovo ?

regsvr32 %windir%\system32\shimgvw.dll

Valeu Skarloff!

Não sabia q o -u significava Unregistred!

Skarloff...

O link lá do blog voltou a funcionar.

Skarloff...

O link lá do blog voltou a funcionar.

Great!
Mas o que será q tinha acontecido ?

Perguntas e respostas sobre a falha do WMF

Por que esse problema é tão grave?
A vulnerabilidade no WMF usa imagens WMF para executar código malicioso. O código será executado se o arquivo for visualizado. Na maioria dos casos, você não precisa clicar em nada. Até mesmo as imagens armazenadas no seu sistema podem fazer com que o código malicioso seja ativado se ela for indexada por algum software de indexação. Listar o conteúdo de uma pasta no modo miniaturas também ativará o código malicioso. Além disso, o patch só será lançado no dia 10 com as demais correções para janeiro.

É melhor usar o Firefox ou o Internet Explorer?
O Internet Explorer exibirá as figuras e ativará o exploit sem qualquer aviso. As versões mais novas do Firefox vão exibir um alerta antes de abrir a imagem. Entretanto, na maioria dos casos, isso não oferece muita proteção já que os arquivos maliciosos são imagens e portanto são considerados “seguros”.

Como funciona o patch não-oficial?
O wmfhotfix.dll é injetado em qualquer programa que carrega o user32.dll. O DLL então modifica na memória a função Escape() do gdi32.dll para que ela ignore qualquer chamada que utiliza o parâmetro SETABORTPROC (0×09). Isso deve permitir a exibição de arquivos WMF normalmente e bloquear o código malicioso ao mesmo tempo. A versão do patch divulgada nesse FAQ foi testada contra todas as versões conhecidas do exploit e deve funcionar em Windows XP (SP1/SP2) e Windows 2000.

Os antivírus são bons para me proteger dessa falha?
Nós estamos sabendo de versões do exploit que não são detectadas por scanners antivírus. Nós esperamos que eles adicionem a detecção logo. Mas será uma dura batalha até que eles consigam adicionar todas as versões do exploit. Um antivírus atualizado é necessário, mas não é suficiente.

O que eu posso fazer no meu perímetro/firewall para proteger minha rede?
Não muito. Um servidor proxy que retira todas as imagens pode ajudar, mas não será bom para os seus usuários. Pelo menos bloqueie a extensão .wmf (mas veja acima que o exploit não precisa desse formato). Se o seu proxy possui algum tipo de scanner antivírus, ele poderá pegar o exploit — o mesmo pode ser dito sobre servidores de e-mail. Quanto menos conexões outbound (de dentro para fora) você permite que os seus usuários façam, melhor. Um monitoramento detalhado das estações de trabalho pode lhe ajudar a saber quando uma delas for infectada.

Na íntegra: http://linhadefensiv...006/01/faq-wmf/

Quarta, 4 de janeiro de 2006, 09h46
Microsoft corrigirá falha do Windows na semana que vem

A Microsoft afirmou hoje que espera ter pronto na próxima semana um conserto para a falha de segurança recentemente descoberta no Windows e que pode tornar computadores vulneráveis a vírus.

A gigante do software informou em comunicado que "completou o desenvolvimento de uma atualização de segurança para reparar a vulnerabilidade" descoberta na semana passada. A atualização do sistema está sendo finalizada e a companhia espera liberá-la em 10 de janeiro.

Na íntegra: http://tecnologia.te...-EI4805,00.html

Correção da Microsoft para falha WMF vaza na web
Quinta-feira, 5 janeiro de 2006 - 11:38
IDG Now!

Uma versão preliminar da correção de segurança para a falha do Windows Metafile (WMF) do sistema operacional Windows vazou na internet em um web site de segurança, confirmou a Microsoft.

Na íntegra: http://idgnow.uol.co...nnelID=21080105