O.T. Nuevo fallo GRAVE en windows. ACTUALIZADO. PARCHE OFICIAL en primer post

Lo añado aquí para que no haya que revisar todo el hilo

http://www.microsoft.com/technet/security/bulletin/ms06-001.mspx



Se ha detectado un nuevo fallo de seguridad en windows, y afecta a todas las versiones de éste sistema operativo


Una nueva vulnerabilidad de Windows deja al equipo totalmente indefenso al visitar algunas páginas web que insertan un archivo malicioso en sus páginas. Ya no hace falta ni "clickar" ni ejecutar ningún software, automáticamente el ordenador se infecta e instala en el sistema todo tipo de adwares y códigos maliciosos. Firefox para Windows también se encuentra afectado.

Una vulnerabilidad presente en casi todas las versiones del sistema operativo Windows, calificada como crítica y que aún está por resolver, está siendo utilizada activamente para infectar los equipos de los usuarios con todo tipo de códigos maliciosos. PandaLabs ha localizado archivos que hacen uso de esta vulnerabilidad mediante un exploit (programa que aprovecha un fallo o hueco de seguridad), en un gran número de páginas web. Desde esas páginas se están instalando de forma automática troyanos, spyware y adware en los equipos de los usuarios que las visitan.

La mencionada vulnerabilidad estriba en el manejo que Windows hace de los archivos WMF (Windows Meta File), por lo que todas aquellas aplicaciones que puedan procesar este tipo de archivos se encuentran afectadas. Entre ellas pueden mencionarse Internet Explorer, Outlook y Windows Picture and Fax Viewer. Ni Firefox ni Opera se libran de esta vulnerabilidad si el usuario utiliza un Windows (tanto SPI como sp2).

Según explica Luis Corrons: “se trata de una de las vulnerabilidades más graves detectadas en los últimos tiempos. El simple hecho de visitar una página web que contenga un archivo creado para aprovechar este problema de seguridad, consigue que un ordenador pueda verse infectado por cualquier tipo de código malicioso, o sea víctima de un ataque hacker. Debe tenerse en cuenta que -en este momento- prácticamente todos los sistemas que funcionan bajo Windows son víctimas potenciales”.

Complejo y variado

Entre los distintos códigos maliciosos que, según los datos de PandaLabs, se están instalado en los sistemas haciendo uso de esta vulnerabilidad, se encuentra SpyAxe, un adware que muestra un icono informando de que el ordenador está infectado, al tiempo que muestra un mensaje ofreciendo e instalando una herramienta para su desinfección. Al hacer doble clic sobre dicho mensaje, se muestra una página web para la descarga gratuita de dicha herramienta. Una vez instalado y efectuado el análisis del sistema, se informa al usuario del spyware y adware que ha encontrado. Sin embargo, no lo eliminará si no se accede de nuevo a la página web para comprar el producto. "Keygen.us", uno de los sitios más visitados al recopilar cracks y patches para juegos y herramientas es uno de los sitios que desde el pasado lunes viene infectando a buen número de usuarios.

La firma de seguridad informática Kaspersky ha clasificado los troyanos que se cargan al visitar estos lugares como Trojan-Downloader.Win32.Agent.acd ya que todos los detectados parecen pertenecer a la misma familia, aunque, en cualquier momento, pueden aparecer versiones modificadas. Por su parte, Nod 32 los clasifica como Win32/TrojanDownloader.Wmfex.

Los ordenadores de los usuarios también pueden resultar infectados por troyanos de la familia Agent.acd si se visitan las siguientes páginas web: unionseek.com o iframeurl.biz. En este caso, los programa dañinos se descargan en el ordenador del usuario y se activan aprovechando la vulnerabilidad WMF, lo que produce la descarga de nuevos troyanos en el ordenador de la víctima.

Finalmente y aún cuando no se abra una imagen haciendo doble clic en ella, ni se utilice el Explorador de Windows para visualizar una carpeta que tenga una imagen con el exploit, podemos infectarnos si tenemos instaladas utilidades como por ejemplo Google Desktop, ya que las mismas crean un índice de imágenes para hacer búsquedas más rápidas, y ello es suficiente para que se ejecute el exploit. Ello está relacionado con el visor usado por Windows para ver las pre visualizaciones de imágenes, faxes, etc

“Esta vulnerabilidad puede ser empleada para instalar cualquier tipo de código malicioso, no solo troyanos y spyware, sino también gusanos, bots o virus que puedan causar daños irreparables en los ordenadores. El código necesario para hacer uso de este problema de seguridad ha sido publicado en ciertas direcciones de Internet, por lo que cualquier autor de amenazas puede acceder a él e incorporarlo en sus nuevas creaciones. Por otra parte, hasta que no se publique una actualización para resolver el problema, la única defensa posible es el empleo de soluciones de seguridad que sean capaces de detectar y bloquear los exploits que intenten aprovechar esta vulnerabilidad”, añade el ejecutivo de Panda, Luis Corrons.

Fuente Noticiasdot.com

 

Y ahora que tengo que hacer, dejar el ordenador apagado quince días hasta que saquen algo para tapar el 'bujero'?

 

Ya xo linux es muxo mejor ya q es codigo abierto ... y nadie hace virus para el... aparte va muxo mas rapido q windows xq no utiliza la mierda de registro para encriptar todo... aunke es lo q tu dices el software y sobre todo los drivers dan mas problemas y es más dificil d usar...
Pero supongo q el problema q deciis se puede arreglar cn un cortafuegos q vigile todas las conexiones...
Un saludo!

 

A eso sumadle el troyano que se está extendiendo por el Messenger abriendo conversaciones de forma automatica con tus contactos que están conectados, y le pone un link que termina en un archivo foto.exe y cuando lo ejecutas ya estas infectado y repite el proceso. Yo estoy infectado y aun no se la solución. 8-[

 

ya estamos con los bujerazos de windows xDDD, ayyy que tranquilio se esta con mac :xray: :xray: :xray: :xray: :xray: ,y como decian mas arriba en linux se pueden hacer las mismas cosas practicamente que en windows,exceptuando el tema de juegos,que seria necesario emular windows, y en macintosh lo mismo,con la diferencia de que puedes estar tranquilo mientras usas el ordenador,no sufres cuelgues etc y en mi caso con al menos con mac no he notado la mas minima perdida de rendimiento con el paso de los meses en mi mac mini que lleva encendido desde que lo compre (hace 7-8meses),ah y sin ningun antivirus ni nada instalado con windows casi ya casi tocaria el formateo periodico :vom:

Resumen:

windows::vom: :vom: :vom: :vom: :vom:

linux:

macintosh::xray: :xray: :xray: :xray: :xray: :xray: y ahora cuando salgan con micros intel...:dan:

 

todo a la perfeccion, se nota que esta bien hecho ;-)

 

Que alegrones nos das Jaro. ¿ y ahora que hago yo ?

 

Segun tengo entendido es un bug de los ficheros .wmf, el verdadero problema es que estos ficheros, se autoejecutan al visionarlos.. osea si te lo adjuntan en un correo electronico, y llegas con el outlook a la previsualizacion, no hace falta que lo hablas, simplemente con la previsualizacion del mensaje, ya se ejecuta ese fichero... y si está infectado.... putrum putrum.... ese es el verdadero potencial de este nuevo agujero... en si esos ficheros no son malos.. pero si permiten hacer cositas malas provocandoles un error.. entonces es cuando se hacen peligrosos..

 

quizás esto te ayude

http://www.bmwfaq.com/showthread.php?t=93963&highlight=messenger

 

Efectivamente, lo que significa que la primera medida a tomar, es que el programa de correo electrónico no muestre la " vista previa" de los mails recibidos ;-)

 

eso es de obligado cumplimiento en la empresa en la que trabajo... yo mismo me encargo de que sea asi (somos 4 gatos y es facil de controlar, pq sino...)

 

Exacto, la vista previa es un gran peligro... sólo te diré tambien que en los spam's en las direcciones de las imagenes que te adjuntan... añaden unos caracteres identificativos de tu mail (un nro. normalmente) para que cuando previsualizes el mail (sin llegar a abrirlo), como se descarga la imagen adjunta, desde su servidor de imagenes, en ese mismo servidor, queda registrado que ese nro. de referencia es un nro. valido, con lo que tu direccion de mail, queda registrada como valida y por lo tanto susceptible de ser vendida a otras empresas dedicadas al spam.....

Yo utilizo un webmail por motivos de movilidad y es mucho mas seguro en estos aspectos, porque solo veo las cabeceras (los titulos) de los mensajes... con eso me basta para eliminarlos...

 

Politicas de seguridad en el Active directory, por ejemplo....

 

¿y no funcionaria,en parte, quitar de la lista de extensiones conocidas el .wmf, para que no se autoejecute (al menos hasta q este corregido)?
no estara por el registro??

 

yo he encontrado esto... parece que ya tiene solucion

http://www.microsoft.com/technet/security/Bulletin/MS05-053.mspx

 

Lo íba a poner mac toni, muchas gracias. Lleva unos días rulando el parche. La verdad es que circula por internet una cantidad de m****a...

Por cierto, sobre el linux: qué versiones usais? Un compañero me recomendó Red Hat porque era sencilla. Qué me contais?

 

Mejor el parche en español, que aquí hay pocos con el windows en inglés:

http://www.microsoft.com/downloads/details.aspx?FamilyID=e38372b2-3bf6-4393-b9a4-f34248c8073e&DisplayLang=es

 

no des las gracias danny, me dejas un fin de semana el s2000 y arreglado

 

Yo creo... que le dais demasiada importancia a estas cosas, un buen antivirus actualzado diariamente , un antispam de vez en cuando y a dormir mas o menos tranquilos.
I administro más de 2000 pc's.... quizas soy inocente pero nunca he tenido problemas.
Ojalá la gente se preucupara igual de tener una copia de seguridad con verificación diaria que de los virus y spywares...,pero claro meter la cinta en el dat no vende tanto ... :cry:

 

Sí, si tienes razón. Lo único malo es que para agujeros de éste tipo a veces la prevención sirve de poco. Concretamente para este agujero la única prevención posible era acertar a no visitar las páginas que contenían el código malicioso.

En mi empresa como todo está capado por firewall físico, la gente no puede acceder más que a un portal específico con el que se trabaja a diario, nada de navegar. Por eso es difícil que haya infección. Pero para un usuario libre aunque tenga el antivirus actualizado y varios anti-spy también actualizados, a veces la infección es cuestión de visitar o no una página.

 

Tambien, si señor, tambien............