La imágenes .jpg pueden llevar virus

11:30 27/09/04

ALERTAN DE QUE LAS IMÁGENES .JPG PUEDEN LLEVAR VIRUS

Mercè Molist
Ha caído un mito: el que decía que las imágenes no pueden contener virus. Hace quince días, en su boletín mensual de vulnerabilidades, Microsoft anunciaba la existencia de un error que podía hacer que un virus, camuflado en un archivo estándar de imagen .jpeg o .jpg, infectase un sistema Windows. Días después, un grupo de investigadores demostraba que era posible crear un programa maligno que, aprovechando este error, permitiese la ejecución remota de código, sólo con visualizar una imagen. En cuestión de horas, alguien colgaba en Internet una herramienta que crea automáticamente imágenes con virus. Los expertos temen que esta herramienta, que puede descargar y usar cualquiera, sea el origen de la próxima infección masiva de la red.

La única solución es un parche que Microsoft recomienda que instalen rápidamente sus usuarios. La vulnerabilidad es crítica en todas las versiones de Windows menos Windows 98, Windows ME y Windows NT. Pero, al afectar también a programas como Office, el gestor de correo Outlook o el navegador Internet Explorer, si estos sistemas operativos los usan son igualmente vulnerables. El error radica en el módulo de tratamiento de imágenes .jpg de más de 50 programas. Es posible provocarles lo que se llama un "desbordamiento de búfer", un cuelgue del programa, que permite la entrada de código maligno, haciendo que el atacante consiga el control del sistema para instalar programas, ver, cambiar o borrar datos o crear nuevas cuentas de usuario con privilegios.

Microsoft advierte sobre posibles escenarios: "Un atacante podría tener en su web una imagen diseñada para explotar esta vulnerabilidad, sólo con que el usuario la mirase con Internet Explorer se infectaría. O podría crear un mensaje en HTML con una imagen adjunta. Sólo con previsualizarla con Outlook, liberaría su código. O podría poner la imagen en un documento de Office y persuadir al usuario de que lo leyese. O, simplemente, poner la imagen en un sistema de intercambio de ficheros y convencer al usuario de mirar el directorio donde está la imagen, con el Windows Explorer". O, más sencillo, intercambiar una foto en los canales de chat.

La herramienta acabada de aparecer, que permite crear automáticamente imágenes infectadas, hace cada vez más cercanos estos escenarios. Según Enciclopedia Virus, "pone al alcance de cualquiera, aún sin demasiados conocimientos, el poder crear imágenes que al ser vistas pueden comprometer seriamente un equipo. Permite seleccionar cualquier ejecutable para ser descargado y luego ejecutado automáticamente, por lo que las posibilidades de inyectar cualquier clase de código malicioso en la computadora de la víctima son infinitas. Permite también que cualquiera pueda modificar una imagen de modo que, al ser visualizada, se descargue y ejecute un archivo desde una página web a elección del autor".

La comunidad antivirus está en alerta roja. Aunque Microsoft ha puesto parches a disposición de sus usuarios, es conocida la lentitud con que éstos responden a los anuncios de actualizaciones o realizan regularmente un "Windows Update". La mayoría no instala nunca los parches. Además, no es un parche sinó muchos, uno para cada programa vulnerable. Según VSAntivirus: "Otro problema es que Microsoft ha anunciado que no llevará las actualizaciones de seguridad del Service Pack 2 en el Internet Explorer a los sistemas operativos anteriores. En el futuro, quienes utilicen Windows Me, 98 o 95 no tendrán estas actualizaciones. Como la cantidad de usuarios con estos sistemas obsoletos está calculada en más de 200 millones, es fácil imaginar el tremendo potencial para las infecciones. Por el momento, en el caso de las imágenes .jpeg, existen parches sólo para algunas versiones del Internet Explorer".

VSAntivirus cree que "el problema es mucho mayor de lo que algunos piensan, incentivado por el hecho de que hasta ahora las imágenes .jpeg eran consideradas inofensivas, un gran porcentaje del contenido visual encontrado en Internet utiliza ese formato. En el pasado, con gusanos como Blaster y Sasser, se repitieron las mismas condiciones: se libera un parche para una vulnerabilidad crítica, a los pocos días surgen las pruebas de concepto y poco después se propaga un código malicioso que logra realizar estragos".

Virus en imágenes JPEG: Cuenta regresiva
http://www.vsantivirus.com/23-09-04.htm
Herramienta para explotar vulnerabilidad JPEG
http://www.vsantivirus.com/ev-25-09-04.htm
Publicado código que explota la ultima vulnerabilidad de Windows
http://www.hispasec.com/unaaldia/2159
Microsoft Security Bulletin
http://www.eu.microsoft.com/spain/technet/seguridad/boletines/MS04-028-IT.mspx

Copyleft 2004 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved.

<<