Herramienta de scanning para contrarrestar el ataque JPEG

26 Sep 2004 en Seguridad

En momentos en que los expertos en seguridad predicen que el ataque en gran escala de un nuevo gusano es sólo cosa de días, Microsoft libera una herramienta de scanning para que los usuarios puedan identificar si tienen versiones vulnerables de GDI manejando el procesamiento de JPEG. La herramienta GDI + Detection Tool puede detectar la presencia de productos no-Windows que contengan al componente GDI+ y determina si hay que aplicar un arreglo de seguridad o no. La herramienta se liberó con el patch MS04-028 de Microsoft, encargado de cerrar una brecha “crítica” en la forma que se procesan los archivos de imágenes JPEG (Visitar el sitio: http://www.microsoft.com/technet/security/bulletin/ms04-028.mspx)
Internet Storm Center (ISC), por su parte, ha liberado un scanner para quienes no son usuarios de Windows y se puede descargar en: http://isc.sans.org/gdiscan.php
“Varios programas que no son Microsoft incluyen versiones de librerías GDI que son vulnerables de explotación. Utilizando esta herramienta, se pueden identificar programas que pueden ser vulnerables e intentar conseguir una actualización de parte del proveedor de esos programas,” dice en un comunicado del centro.
ISC informó que continúa detectando la presencia en la red de varias explotaciones que aprovechan la vulnerabilidad JPEG GDI y advierte que es de esperar “una rápida evolución de explotaciones adicionales” en los próximos días.
Esta explotación que, como dijimos en nuestro número anterior es una prueba de concepto, comenzó a circular a sólo ocho días de que Microsoft liberara el patch, lo que muestra que los hackers están reduciendo el tiempo que les lleva explotar un agujero de seguridad conocido.
Recordemos que Microsoft aconseja instalar inmediatamente el patch MS04-028. Como la explotación detectada por ISC es capaz de abrir un prompt de comando en las máquinas vulnerables, los hackers pueden irrumpir en esas máquinas y usarlas de base para ataques en gran escala. Esto es, según ISC, el prólogo de algo mucho peor que está por venir.
Trend Micro calificó de “alto” al riesgo presente y advierte que un ataque exitoso le permite al atacante instalar y procesar programas, además de ver o editar datos con privilegios completos. Usuarios de Microsoft Outlook y Outlook Express, especialmente en contextos empresariales, debe usar sólo texto plano para la lectura de mensajes de email que podrían contener imágenes JPEG malformadas.