GDI Scan Tutorial y la forma de solucionar la vulnerabilidad GDI + JPEG

 

Tabla de Contenidos

¿Cuál es la vulnerabilidad GDI + JPEG

GDI + es una interfaz de programación o API que permite a los programas a utilizar gráficos y texto con formato en una pantalla de vídeo o una impresora. Una vulnerabilidad, la vulnerabilidad GDI + JPEG, se encontró en el gdiplus.dll DLL utilizado por GDI + que tiene el código defectuoso cuando se procesan las imágenes JPEG. Las personas que saben cómo este código puede ser explotado pueden crear un archivo JPEG especialmente diseñado que puede explotar este error y, posiblemente, tomar el control de su máquina. Si ve una imagen utilizando una aplicación que tiene esta vulnerabilidad, entonces es posible que el programa remoto ejecutar comandos en el equipo al mismo nivel de seguridad como su cuenta de usuario. Por lo tanto, si su cuenta de usuario es un administrador de la máquina, a continuación, el código remoto tendrá privilegios administrativos y ser capaz de tener acceso completo a la seguridad de su equipo.

Microsoft ha publicado una actualización para esta vulnerabilidad que se puede obtener por ir a Windows Update para la actualización del sistema operativo y Office Update para la actualización de Microsoft Office. Asegúrese de hacer esos cambios inmediatamente como este tutorial asume que ya tienen ellos y se centra en la resolución de problemas para aplicaciones 3 ª parte que pueden ser afectados por la vulnerabilidad GDI + JPEG.

¿Qué es GDI Scan

Un problema importante con esta vulnerabilidad es que hay 3 ª parte, no es de Microsoft, las aplicaciones que se incluyen con esta DLL explotable. Desde la actualización de Microsoft sólo actualiza el archivo DLL que viene con el software del sistema operativo, que todavía puede ser vulnerable de otras aplicaciones que no se actualiza. Microsoft lanzó una herramienta de detección de GDI +, que va a escanear su ordenador y dirá si se ha encontrado ningún programas MICROSOFT que pueden ser vulnerables. Por desgracia, no le dice programas QUÉ son vulnerables y simplemente dirige de vuelta a la actualización de las ventanas y la actualización de Office. Lo que es peor, que no le permite saber si cualquier software de tercera parte puede verse afectada, dejando aún en la oscuridad.

Debido a esto Tom Liston, la persona que desarrolló el software del LaBrea Tarpit honeypot, ha creado una herramienta llamada GDI Scan que escaneará una unidad en el equipo para archivos que pueden resultar vulnerables a la GDI + JPEG explotan. Cuando se ha completado el análisis de la partición se creará un registro que mostrará todos los archivos DLL posiblemente vulnerables encontrados. A continuación, puede utilizar esta información para determinar qué programas se ven afectados y luego tratar de mejorar estos programas, de manera que ya no son vulnerables.

Cuando se ejecuta esta herramienta va a escanear la partición especificada para cualquiera de los siguientes archivos: gdiplus.dll

(se sabe que es explotable) sxs.dllwsxs.dllmso.dll

Si encuentra estos archivos Será intentar determinar si son vulnerables a la explotación de GDI JPEG. Si lo son, serán listados en rojo en el archivo de registro resultante.

Es importante señalar que los DLL anteriormente mencionados se pueden encontrar en más de una ubicación en el disco duro. Si se encuentran en varias ubicaciones en el ordenador, el programa comprobará los siguientes lugares por la DLL, en este orden, y si usos se encuentran la DLL se encuentra en primer lugar:

lo tanto, es posible que el sistema operativo que se ha interconectado correctamente , pero para obtener una copia de la DLL explotables a todavía se encuentran en otra parte de su equipo, que todavía permite la vulnerabilidad.

Cómo utilizar GDI Scan

Paso 1: Descargar la versión GUI de gdiscan.exe

Usted puede descargar GDI Scan desde el siguiente enlace:

http://isc.sans.org/gdiscan.php

Descargar la versión de interfaz gráfica de usuario a un lugar que recordará más tarde.

Paso 2: Ejecutar gdiscan.exe

Una vez descargado, haga doble clic en gdiscan.exe y una pantalla similar a la de abajo aparecerá:

Figura 1: Inicio GDIScan

Primero seleccione la unidad, designada por la caja verde en la figura 1, que desea escanear. Una vez que la unidad que desea exploración es seleccionado, pulse el botón Scan designado por el cuadro rojo en la figura 1. Ahora, el programa analizará la letra de unidad que ha especificado para cualquier copia del gdiplus.dll y DLLSs asociado, y mostrarlos durante usted como se muestra en la Figura 2 a continuación.

Figura 2: Resultados GDIScan.exe

A continuación, puede hacer clic en el botón Portapapeles, designado por el cuadro rojo, para copiar el contenido de los resultados en el portapapeles. A continuación, pegue los resultados en un bloc de notas o cualquier otro documento que se puede hacer referencia a más tarde.

para Windows 95/98 / ME Usuarios

Es importante tener en cuenta que esta aplicación fue diseñada específicamente para XP, 2000 o NT. Esto no significa, sin embargo, que no se puede utilizar en Windows 95, 98 o ME. Con el fin de ver los resultados correctamente tendremos que crear un documento RTF (formato de texto enriquecido). Ejecutar el programa como se describe anteriormente y cuando esté terminado el escaneo de su partición siga estos pasos:

¿Cómo se interpretan los resultados

Ahora que hemos este registro, apuesto a que se está preguntando lo que se supone que ver con eso . Pues a partir de ahora, la única DLL que sabemos con certeza es explotable es la gdiplus.dll. Así que nos centramos en los listados que contienen esa DLL y son la versión correcta o inferior.

Si se afirma que este se DLL en los directorios como Windows $ NtUniinstallKB se puede ignorar de forma segura. Estos directorios se crean en caso de que desee desinstalar varias actualizaciones de Microsoft. Por lo tanto, no sería extraño ver los archivos DLL mayores hay.

NOTA: Anteriormente había declarado que los archivos que se encuentran en el directorio Windows WinSxS podían ser ignorados. Se ha llegado a mi conocimiento que esta información era realmente incorrecto. El directorio Windows WinSxS es donde Windows almacena su lado-a-lado DLL. De lado a lado DLL se utilizan para permitir que múltiples versiones de un mismo archivo DLL de existir en Windows al mismo tiempo. El sistema operativo mantiene una lista de las aplicaciones que utilizan el cual DLL de lado a lado. Esto permite que diferentes versiones de un mismo archivo DLL de coexistir en el mismo equipo y tienen múltiples aplicaciones que compartan. Por lo tanto, si usted ve DLL obsoletos encontrar aquí es posible que desee para ver si se pueden actualizar a través de OfficeUpdate, Windows Update, o de sustituirla por la redistribuible. Como siempre hacer una copia de seguridad primero de la DLL encuentra en el directorio WinSxS primero. – Gracias a Donald Smith por la aclaración.

Deja la toma un ejemplo del registro de arriba y ver cómo podemos interpretar los resultados:

Figura 3: DLL explotables que se encontraron

Como se puede ver en la figura anterior, gdiscan encontrado dos copias explotables de gdiplus.dll en mi máquina. Se encuentra en el directorio FolderSizes y el otro está en el directorio de WS_FTP Pro. Ahora sé que tengo que visitar los sitios web de estas aplicaciones y ver si hay actualizaciones disponibles. Si los hay, que los descarga, los instalamos, y esperamos que solucionar el problema, que podemos comprobar mediante la ejecución de gdiscan.exe nuevo después de la instalación se haya completado. Si el problema persiste, entonces usted debe ponerse en contacto con el fabricante del software y explicar la situación.

Otra solución puede ser para descargar la última gdiplus.dll de Microsoft. Esta corrección puede causar problemas con su software si los desarrolladores de software que añaden funcionalidad extra en su copia de la gdiplus.dll. Por lo tanto, por favor haga una copia de seguridad de la gdiplus.dll existente antes de hacer este método.

Usted puede descarga este archivo de la siguiente enlace : Plataforma SDK redistribuible: GDI + Cuando que descarga este archivo , archivos plazo que y el extracto de la a c: gdiplus. Entonces navegar a c: gdiplus, y que se encontrar que contiene la DLL, gdiplus.dll. Simplemente copia este DLL sobre la conocido explotable uno de la registro a reemplazar ella. Ahora que que tener reemplazado que del programa de gdiplus.dll que debe no ser exploitable.Conclusion

Ahora que ya saber cómo comprobar su sistema de GDI + JPEG explotar es recomendable que lo haga inmediatamente. En el momento de escribir estas líneas más informes están saliendo sobre las herramientas y código de ejemplo para aprovechar esta vulnerabilidad. Cuanto antes de ejecutar esta herramienta y corregir cualquiera de las copias explotables de esta DLL en el sistema, más seguro será.

–Lawrence AbramsBleeping Advanced Computer Internet Security ConceptsBleepingComputer.com: Soporte y equipo tutoriales para el usuario de la computadora comienza.