Todo sobre la vulnerabilidad en cursores animados

Microsoft ha confirmado una vulnerabilidad que afecta a diversas versiones de Windows, y que puede ser explotada a través de archivos .ANI.

La extensión .ANI corresponde a los cursores e iconos animados de Windows (Windows Animated Cursor), que consisten en una cantidad determinada de cuadros (imágenes diferentes).

La vulnerabilidad se produce por un desbordamiento de pila, cuando Windows procesa archivos .ANI mal formados, en los cuáles la información de referencia en sus cabezales ha sido alterada.

Un atacante puede provocar un fallo en forma remota, a través de un archivo .ANI en una página Web maliciosa o desde un correo electrónico, de modo tal que el kernel de Windows calcule una dirección errónea para acceder a un cuadro y entonces falle, provocando la ejecución de código.

Se han detectado exploits activos, que descargan y ejecutan diferentes troyanos desde Internet. Los exploits reportados hasta el momento, son interceptados por NOD32, e identificados como Win32/TrojanDownloader.Ani.G.

Microsoft ha publicado un aviso de seguridad (Microsoft Security Advisory), identificado como 935423, donde confirma la existencia del exploit, y se refiere al problema que causa esta vulnerabilidad.

La ejecución de código mediante este exploit, se realiza con los mismos privilegios del usuario actual.

La vulnerabilidad afecta a las siguientes versiones de sistemas operativos soportados actualmente por Microsoft:

- Microsoft Windows 2000 Service Pack 4
- Microsoft Windows XP Service Pack 2
- Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium)
- Microsoft Windows XP Professional x64 Edition
- Microsoft Windows Server 2003
- Microsoft Windows Server 2003 (Itanium)
- Microsoft Windows Server 2003 Service Pack 1
- Microsoft Windows Server 2003 Service Pack 2
- Microsoft Windows Server 2003 con SP1 (Itanium)
- Microsoft Windows Server 2003 con SP2 (Itanium)
- Microsoft Windows Server 2003 x64 Edition
- Microsoft Windows Vista


Explotación de la vulnerabilidad

El exploit puede actuar en cualquiera de estos escenarios:

1. Al visualizar una página con un navegador (no solo Internet Explorer)

2. Al leer un correo electrónico

3. Al abrir una carpeta local con el explorador de Windows (configuración por defecto)

En los casos 1 y 2, puede ejecutarse un código malicioso, pero no en el caso 3, donde solo se produce una denegación de servicio (Windows deja de responder o entra en un bucle mostrando un mensaje de error una y otra vez).

En el primer escenario, el exploit puede actuar tanto al visualizar una página web utilizando Microsoft Internet Explorer como Mozilla Firefox (otros navegadores pueden estar también afectados). Según Microsoft, Internet Explorer 7.0 en modo protegido, no es afectado por el exploit, o al menos no puede ejecutarse el código embebido.

En el segundo escenario, aunque Microsoft aconsejó al comienzo como medida para mitigar los efectos del problema, leer el correo electrónico como texto sin formato, una lista publicada por el Internet Storm Center (ISC), del SANS Institute, muestra como la vulnerabilidad puede ser explotada en varios clientes de correo, a pesar de que el usuario tome esa precaución.

En concreto, el exploit puede ejecutarse al leer un correo en los siguientes programas y condiciones:

1. Al abrir un correo con la configuración por defecto (formato, etc.):

Son vulnerables:

- Windows XP Outlook Express
- Windows Vista Mail
- Microsoft Outlook 2003

2. Al leer un correo en el panel de vista previa:

Son vulnerables:

- Windows XP Outlook Express
- Windows Vista Mail
- Microsoft Outlook 2003

3. Al abrir un correo en formato solo texto:

Es vulnerable:

- Windows XP Outlook Express

4. Al responder o reenviar un correo, aún con la opción leer en formato solo texto activa:

Son vulnerables:

- Windows XP Outlook Express
- Windows Vista Mail


Consideraciones

Los usuarios de Outlook 2007 están protegidos, sin importar si se leen los mensajes como texto sin formato o no.

Leer el correo electrónico como texto sin formato si se utiliza Outlook 2002 o posterior, o Windows Mail, puede ayudar a protegerlo. Sin embargo, en Windows Mail (Windows Vista), aún al leer texto sin formato, el usuario no está protegido si responde o reenvía el mensaje recibido del atacante.

Leer el correo como texto sin formato en Outlook Express, no mitiga los intentos para explotar esta vulnerabilidad.

Otros clientes de correo como Thunderbird, también son vulnerables, aún cuando se utilice la lectura en texto plano, si se hace clic sobre los enlaces.

Según la información actualmente disponible, la vulnerabilidad no puede ser mitigada bloqueando la descarga de archivos .ANI, ya que incluso existen archivos renombrados (como .JPEG, etc.), que pueden igualmente ejecutar el exploit.

Además, es importante destacar que Windows Explorer (el Explorador de Windows), puede procesar archivos .ANI con diferentes extensiones, por ejemplo .CUR, .ICO, etc.

No existe parche oficial al momento actual, a pesar de que el fallo fue reportado privadamente a Microsoft en diciembre de 2006, por la compañía de seguridad Determina (ver "Referencias"). Sin embargo, no se conocía ningún exploit activo hasta ahora (marzo de 2007).

El exploit es considerado un Zero Day (Día cero), basándonos en la definición más aceptada por los profesionales de la seguridad. Así, definimos como "Zero Day", a cualquier exploit que no haya sido mitigado por un parche del vendedor.


Parche oficial

[02/04/07] - Microsoft anunció este domingo, que un boletín de seguridad con el parche correspondiente, sería publicado el martes 3 de abril de 2007.


Parches no oficiales

Si bien Microsoft y la mayoría de los expertos de seguridad, aconsejan no instalar parches que no sean oficiales, el equipo de seguridad de eEye Digital ha desarrollado una herramienta que puede servir como solución temporal para aquellos usuarios que así lo deseen.

El parche temporal, previene que los cursores e iconos animados, sean cargados fuera de la carpeta de instalación de Windows. Esto inhabilita la descarga desde cualquier página de Internet, de iconos potencialmente peligrosos.

El parche debe ser desinstalado antes de aplicar la solución de Microsoft (cuando ella esté disponible).

Más información:

Windows .ANI Processing (EEYEZD-20070328)
http://research.eeye.com/html/alerts/zeroday/20070328.html


Medidas de precaución

A pesar de lo que mencionamos antes, Microsoft aconseja activar la lectura del correo electrónico como "Texto sin formato".

Para ello, tanto en Outlook Express como en Windows Mail (Windows Vista), siga las siguientes instrucciones:

1. Seleccione el menú Herramientas, Opciones, lengüeta "Leer"
2. Marque la casilla "Leer todos los mensajes como texto sin formato".

NOTA: Esta única protección no es efectiva en Outlook Express. Tampoco lo es en Windows Mail si se responde o reenvía un mensaje afectado por el exploit.

También desactive el panel de vista previa de la siguiente manera:

1. Seleccione el menú Ver, Diseño
2. Desmarque la casilla "Mostrar panel de vista previa"

En Thunderbird, abra el menú "Herramientas", "Preferencias", y en "Avanzadas", "Privacidad", "General", podrá hacer los cambios necesarios.

Más información:
http://kb.mozillazine.org/Plain_text_e-mail_%28Thunderbird%29

El exploit puede activarse también cuando se visualiza una carpeta conteniendo un HTML malicioso. Para evitar el contenido HTML en el explorador de Windows, siga estas instrucciones:

1. Abra Mi PC
2. Seleccione Herramientas, Opciones de carpetas
3. En la lengüeta "General", en Tareas, seleccione "Utilizar las carpetas clásicas de Windows".

Se recomienda precaución al recibir correos electrónicos no solicitados, así como al visitar páginas sugeridas en enlaces de mensajes que no hemos pedido.

El uso de un antivirus actualizado, es por supuesto imprescindible.


Relacionados:

TrojanDownloader.Ani.G. Utiliza archivos .ANI
http://www.vsantivirus.com/trojandownloader-ani-g.htm

Alerta Amarilla por ataques a vulnerabilidad .ANI
http://www.vsantivirus.com/01-04-07.htm


Referencias:

Microsoft Security Advisory (935423)
Vulnerability in Windows Animated Cursor Handling
http://www.microsoft.com/technet/security/advisory/935423.mspx

Microsoft Security Advisory 935423 Posted
http://blogs.technet.com/msrc/archive/2007/03/29/microsoft-security-advisory-935423-posted.aspx

Update on Microsoft Security Advisory 935423
http://blogs.technet.com/msrc/archive/2007/03/30/update-on-microsoft-security-advisory-935423.aspx

CVE-2007-0038
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0038

[Full-disclosure] 0-day ANI vulnerability in Microsoft Windows (CVE-2007-0038)
http://archives.neohapsis.com/archives/fulldisclosure/2007-03/0470.html

Vulnerability In Windows Animated Cursor Handling
http://www.determina.com/security_center/security_advisories/securityadvisory_0day_032907.asp

Microsoft Windows ANI header stack buffer overflow
http://www.us-cert.gov/cas/techalerts/TA07-089A.html

Microsoft Windows animated cursor ANI header stack buffer overflow
http://www.kb.cert.org/vuls/id/191609

Windows Animated Cursor Handling vulnerability - CVE-2007-0038
http://isc.sans.org/diary.html?storyid=2534

Ani cursor exploits against Microsoft E-mail clients - CVE-2007-0038
http://isc.sans.org/diary.html?storyid=2539

Microsoft Windows Animated Cursor Handling Vulnerability
http://secunia.com/advisories/24659

Vulnerability Summary CVE-2007-1765
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-1765

Unpatched Drive-By Exploit Found On The Web
http://www.avertlabs.com/research/blog/?p=230

Detecting and filtering out windows animated cursor exploitation attempts
http://isc.sans.org/diary.html?storyid=2540

ANI exploit code drives INFOCon to Yellow
http://isc.sans.org/diary.html?storyid=2542

Chinese Internet Security Response Team Reports ANI Worm
http://isc.sans.org/diary.html?storyid=2550

ANI: It Gets Better
http://isc.sans.org/diary.html?storyid=2551

Microsoft Windows Cursor And Icon ANI Format Handling Remote Buffer Overflow Vulnerability
http://www.securityfocus.com/bid/23194