Hispasec, segun el texto de ellos remitido en esta charla, es un sitio totalmente confiable, el cual ellos enviaron una alerta sobre esta vulnerabilidad, del cual me ha llegado copia. En resumen, respondiendo a la pregunta, es una alerta totalmente valida.
Saludos. Lic. Fernando D. Yutiz Seguridad Informática Provincia Seguros S.A. Tel.: 4346-7300 - Int. 7516 [EMAIL PROTECTED] -----Mensaje original----- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Enviado el: Martes, 03 de Enero de 2006 05:50 a.m. Para: [email protected] Asunto: Resumen de Seguridad0, Vol 486, Envío 1 Envie los mensajes para la lista Seguridad0 a [email protected] Para subscribirse o anular su subscripción a través de WEB http://seguridad0.info/mailman/listinfo/seguridad0_seguridad0.info O por correo electrónico, enviando un mensaje con el texto "help" en el asunto (subject) o en el cuerpo a: [EMAIL PROTECTED] Puede contactar con el responsable de la lista escribiendo a: [EMAIL PROTECTED] Si responde a algún contenido de este mensaje, por favor, edite la linea del asunto (subject) para que el texto sea mas especifico que: "Re: Contents of Seguridad0 digest...". Ademas, por favor, incluya en la respuesta solo aquellas partes del mensaje a las que esta respondiendo. [Resumen agrupado de la lista Seguridad0.info] Asuntos del día: 1. ¿Sabe alguien si es cierta esta noticia? (Fco. Javier Moreno) 2. Re: ¿Sabe alguien si es cierta esta noticia? (Martes13) 3. Re: ¿Sabe alguien si es cierta esta noticia? (Fernando Piera) ---------------------------------------------------------------------- Message: 1 Date: Mon, 2 Jan 2006 21:01:33 +0100 From: "Fco. Javier Moreno" <[EMAIL PROTECTED]> Subject: [Seguridad0] ¿Sabe alguien si es cierta esta noticia? To: [email protected] Message-ID: <[EMAIL PROTECTED]> Content-Type: text/plain; charset="iso-8859-1" Esto me ha venido de una fuente bastante fiable. ¿Puede alguien corroborarlo? ATENCIÓN.. ESTO ES UNA AMENAZA REAL.... Durante los últimos días se ha descubierto un importante agujero de seguridad en Windows 2000 y XP con el que solamente por visitar una pagina o leer un email puede infectar los ordenadores. Los antivirus no pueden hacer nada, ya que se trata de un problema con el tratamiento de las fotografías. Microsoft aun no ha publicado una solución y ya se sabe de la existencia de varias paginas que usan este agujero para instalar virus y troyanos en los ordenadores. De momento, la única solución no oficial que existe es un parche. Os adjunto el link para que os lo instaléis en los ordenadores de vuestra casa y así evitar que os puedan entrar. Esta ingles pero es muy muy sencillo de instalar. El link es este http://www.hexblog.com/security/files/wmffix_hexblog13.exe y es solo para Windows 2000 o Windows XP (Home o corporate). Os mando la alerta oficial por si queréis tener más información.. Es importante que enviéis este email a todos vuestros conocidos. La alerta es real y peligrosa. Saludos y Feliz año nuevo. Pd. Por favor, no instaleis el parche en ordenadores de empresa ya que este no es un parche oficial de Microsoft. Hacedlo solo en vuestros ordenadores personales ------------------------------------------------ Nuevo exploit MWF, más malware, y parche no oficial --------------------------------------------------- Mientras se suceden nuevos incidentes protagonizados por exploits y malware basados en la vulnerabilidad WMF que afecta a Windows, y a la falta de un parche oficial por parte de Microsoft, un reputado programador ha publicado una solución. En los últimos días no han dejado de aparecer nuevos ataques en forma de malware que aprovechan la vulnerabilidad en el procesamiento WMF. Destaca la publicación de un nuevo exploit mucho más potente, capaz de presentarse bajo otros formatos de imágenes y generar código polimórfico que dificulta su detección genérica por parte de los antivirus, IDS, y resto de soluciones basadas en firmas. Uno de los últimos especímenes que hacen uso de este exploit fue detectado en VirusTotal a las 1:30 horas del día 1 de enero de este recién estrenado 2006. Precisamente se trata de un troyano que fue enviado de forma masiva por correo electrónico y que simulaba una felicitación para el nuevo año. El archivo adjunto, una aparente e inofensiva imagen en formato JPG, "HappyNewYear.jpg", compromete el sistema con tan sólo visualizarlo. Sin embargo no se trata de un caso aislado, en los dos últimos días hemos recibido en VirusTotal 10 variantes de malware con extensión JPG que aprovechan la vulnerabilidad, y en las últimas horas hemos recibido tres variantes con extensión GIF, y la previsión es que vaya en aumento. Sin duda estamos ante un caso crítico que requiere de Microsoft la máxima celeridad en la publicación de la pertinente actualización, sin necesidad de que tengamos que esperar al segundo martes de enero según su política periódica de distribución de parches. Cada hora que transcurre sin actualización de Microsoft aumenta el número de incidentes, recordemos que estamos ante un parque de millones de sistemas afectados por una vulnerabilidad crítica. Mientras tanto ha surgido una iniciativa particular, a modo de parche temporal no oficial, por parte de Ilfak Guilfanov, un reconocido desarrollador, autor del popular desensamblador IDA. El parche de Ilfak, además de corregir la vulnerabilidad, no afecta a la funcionalidad del sistema, por lo que las imágenes seguirán visualizándose sin problemas. Desde Hispasec, a la espera de la actualización oficial de Microsoft, nos unimos a la recomendación de F-Secure y SANS, entre otros, y aconsejamos instalar el parche de Ilfak, disponible para Windows 2000, XP 32-bit, XP 64-bit, y Windows Server 2003 en http://www.hexblog.com/security/files/wmffix_hexblog13.exe Adicionalmente Ilfak ha publicado una utilidad que permite conocer si nuestro sistema es o no vulnerable, disponible en la dirección: http://www.hexblog.com/security/files/wmf_checker_hexblog.exe Feliz Año 2006 a todos, aunque no empezamos con muy buen pie que digamos. Fco. Javier FRAMENET 3 ------------------------------ Message: 2 Date: Mon, 2 Jan 2006 22:04:50 +0100 From: Martes13 <[EMAIL PROTECTED]> Subject: Re: [Seguridad0] ¿Sabe alguien si es cierta esta noticia? To: Seguridad0 <[email protected]> Message-ID: <[EMAIL PROTECTED]> Content-Type: text/plain; charset="iso-8859-1" Lo es. Ya se han colgado unos cuantos exploits por ahi. http://www.frsirt.com/exploits/20051231.ie_xp_pfv_metafile.pm.php http://www.frsirt.com/exploits/20051228.ie_xp_pfv_metafile.pm.php para el Metasploit Framework... On 1/2/06, Fco. Javier Moreno <[EMAIL PROTECTED]> wrote: > > Esto me ha venido de una fuente bastante fiable. > ¿Puede alguien corroborarlo? > > > > ATENCIÓN.. ESTO ES UNA AMENAZA REAL.... > > Durante los últimos días se ha descubierto un importante agujero de > seguridad en Windows 2000 y XP con el que solamente por visitar una pagina > o > leer un email puede infectar los ordenadores. Los antivirus no pueden > hacer > nada, ya que se trata de un problema con el tratamiento de las > fotografías. > > Microsoft aun no ha publicado una solución y ya se sabe de la existencia > de > varias paginas que usan este agujero para instalar virus y troyanos en los > ordenadores. > > De momento, la única solución no oficial que existe es un parche. Os > adjunto > el link para que os lo instaléis en los ordenadores de vuestra casa y así > evitar que os puedan entrar. Esta ingles pero es muy muy sencillo de > instalar. > > El link es este http://www.hexblog.com/security/files/wmffix_hexblog13.exey > es solo para Windows 2000 o Windows XP (Home o corporate). > > Os mando la alerta oficial por si queréis tener más información.. > > Es importante que enviéis este email a todos vuestros conocidos. La alerta > es real y peligrosa. > > Saludos y Feliz año nuevo. > > Pd. Por favor, no instaleis el parche en ordenadores de empresa ya que > este > no es un parche oficial de Microsoft. Hacedlo solo en vuestros ordenadores > personales > > ------------------------------------------------ > Nuevo exploit MWF, más malware, y parche no oficial > > --------------------------------------------------- > > Mientras se suceden nuevos incidentes protagonizados por exploits y > malware > basados en la vulnerabilidad WMF que afecta a Windows, y a la falta de un > parche oficial por parte de Microsoft, un reputado programador ha > publicado > una solución. > > En los últimos días no han dejado de aparecer nuevos ataques en forma de > malware que aprovechan la vulnerabilidad en el procesamiento WMF. > > Destaca la publicación de un nuevo exploit mucho más potente, capaz de > presentarse bajo otros formatos de imágenes y generar código polimórfico > que > dificulta su detección genérica por parte de los antivirus, IDS, y resto > de > soluciones basadas en firmas. > > Uno de los últimos especímenes que hacen uso de este exploit fue detectado > en VirusTotal a las 1:30 horas del día 1 de enero de este recién estrenado > 2006. Precisamente se trata de un troyano que fue enviado de forma masiva > por correo electrónico y que simulaba una felicitación para el nuevo año. > El > archivo adjunto, una aparente e inofensiva imagen en formato JPG, > "HappyNewYear.jpg", compromete el sistema con tan sólo visualizarlo. > > Sin embargo no se trata de un caso aislado, en los dos últimos días hemos > recibido en VirusTotal 10 variantes de malware con extensión JPG que > aprovechan la vulnerabilidad, y en las últimas horas hemos recibido tres > variantes con extensión GIF, y la previsión es que vaya en aumento. > > Sin duda estamos ante un caso crítico que requiere de Microsoft la máxima > celeridad en la publicación de la pertinente actualización, sin necesidad > de > que tengamos que esperar al segundo martes de enero según su política > periódica de distribución de parches. Cada hora que transcurre sin > actualización de Microsoft aumenta el número de incidentes, recordemos que > estamos ante un parque de millones de sistemas afectados por una > vulnerabilidad crítica. > > Mientras tanto ha surgido una iniciativa particular, a modo de parche > temporal no oficial, por parte de Ilfak Guilfanov, un reconocido > desarrollador, autor del popular desensamblador IDA. El parche de Ilfak, > además de corregir la vulnerabilidad, no afecta a la funcionalidad del > sistema, por lo que las imágenes seguirán visualizándose sin problemas. > > Desde Hispasec, a la espera de la actualización oficial de Microsoft, nos > unimos a la recomendación de F-Secure y SANS, entre otros, y aconsejamos > instalar el parche de Ilfak, disponible para Windows 2000, XP 32-bit, XP > 64-bit, y Windows Server 2003 en > http://www.hexblog.com/security/files/wmffix_hexblog13.exe > > Adicionalmente Ilfak ha publicado una utilidad que permite conocer si > nuestro sistema es o no vulnerable, disponible en la dirección: > > http://www.hexblog.com/security/files/wmf_checker_hexblog.exe > > > > > Feliz Año 2006 a todos, aunque no empezamos con muy buen pie que digamos. > > > Fco. Javier > FRAMENET 3 > > > _______________________________________________ > Seguridad0(arroba)seguridad0.info > http://seguridad0.info/mailman/listinfo/seguridad0_seguridad0.info > Busqueda y archivos de mensajes > http://www.mail-archive.com/[email protected]/ > _______________________________________________ > [Hospedado y patrocinado por Seguridad0 - http://www.seguridad0.biz] > ------------ próxima parte ------------ Se ha borrado un adjunto en formato HTML... URL: http://seguridad0.info/mailman/private/seguridad0_seguridad0.info/attachments/20060102/b4244187/attachment-0001.htm ------------------------------ Message: 3 Date: Tue, 03 Jan 2006 09:52:53 +0100 From: "Fernando Piera" <[EMAIL PROTECTED]> Subject: Re: [Seguridad0] ¿Sabe alguien si es cierta esta noticia? To: [email protected] Message-ID: <[EMAIL PROTECTED]> Content-Type: text/plain; charset="iso-8859-1" Se ha borrado un adjunto en formato HTML... URL: http://seguridad0.info/mailman/private/seguridad0_seguridad0.info/attachments/20060103/53ce1eef/attachment.htm ------------------------------ _______________________________________________ Seguridad0(arroba)seguridad0.info http://seguridad0.info/mailman/listinfo/seguridad0_seguridad0.info Busqueda y archivos de mensajes http://www.mail-archive.com/[email protected]/ _______________________________________________ [Hospedado y patrocinado por Seguridad0 - http://www.seguridad0.biz] Fin de Resumen de Seguridad0, Vol 486, Envío 1 ********************************************** ********************************************************************** Este mensaje y todo archivo adosado al mismo son confidenciales y su uso es exclusivo de la persona o entidad a la que esta dirigido. Si ha recibido este mensaje por error agradeceremos que lo notifique al administrador de correo de Provincia Seguros ([EMAIL PROTECTED]) Este pie de pagina confirma que el mensaje y/o sus adjuntos estan libres de código malicioso (virus informaticos). Provincia Seguros S.A. ********************************************************************** _______________________________________________ Seguridad0(arroba)seguridad0.info http://seguridad0.info/mailman/listinfo/seguridad0_seguridad0.info Busqueda y archivos de mensajes http://www.mail-archive.com/[email protected]/ _______________________________________________ [Hospedado y patrocinado por Seguridad0 - http://www.seguridad0.biz]
