Explotación de la vulnerabilidad

El exploit puede actuar en cualquiera de estos escenarios:

1. Al visualizar una página con un navegador (no solo Internet Explorer)

2. Al leer un correo electrónico

3. Al abrir una carpeta local con el explorador de Windows (configuración por defecto)

En los casos 1 y 2, puede ejecutarse un código malicioso, pero no en el caso 3, donde solo se produce una denegación de servicio (Windows deja de responder o entra en un bucle mostrando un mensaje de error una y otra vez).

En el primer escenario, el exploit puede actuar tanto al visualizar una página web utilizando Microsoft Internet Explorer como Mozilla Firefox (otros navegadores pueden estar también afectados). Según Microsoft, Internet Explorer 7.0 en modo protegido, no es afectado por el exploit, o al menos no puede ejecutarse el código embebido.

En el segundo escenario, aunque Microsoft aconsejó al comienzo como medida para mitigar los efectos del problema, leer el correo electrónico como texto sin formato, una lista publicada por el Internet Storm Center (ISC), del SANS Institute, muestra como la vulnerabilidad puede ser explotada en varios clientes de correo, a pesar de que el usuario tome esa precaución.

En concreto, el exploit puede ejecutarse al leer un correo en los siguientes programas y condiciones:

1. Al abrir un correo con la configuración por defecto (formato, etc.):

Son vulnerables:

- Windows XP Outlook Express
- Windows Vista Mail
- Microsoft Outlook 2003

2. Al leer un correo en el panel de vista previa:

Son vulnerables:

- Windows XP Outlook Express
- Windows Vista Mail
- Microsoft Outlook 2003

3. Al abrir un correo en formato solo texto:

Es vulnerable:

- Windows XP Outlook Express

4. Al responder o reenviar un correo, aún con la opción leer en formato solo texto activa:

Son vulnerables:

- Windows XP Outlook Express
- Windows Vista Mail


Consideraciones

Los usuarios de Outlook 2007 están protegidos, sin importar si se leen los mensajes como texto sin formato o no.

Leer el correo electrónico como texto sin formato si se utiliza Outlook 2002 o posterior, o Windows Mail, puede ayudar a protegerlo. Sin embargo, en Windows Mail (Windows Vista), aún al leer texto sin formato, el usuario no está protegido si responde o reenvía el mensaje recibido del atacante.

Leer el correo como texto sin formato en Outlook Express, no mitiga los intentos para explotar esta vulnerabilidad.

Otros clientes de correo como Thunderbird, también son vulnerables, aún cuando se utilice la lectura en texto plano, si se hace clic sobre los enlaces.

Según la información actualmente disponible, la vulnerabilidad no puede ser mitigada bloqueando la descarga de archivos .ANI, ya que incluso existen archivos renombrados (como .JPEG, etc.), que pueden igualmente ejecutar el exploit.

Además, es importante destacar que Windows Explorer (el Explorador de Windows), puede procesar archivos .ANI con diferentes extensiones, por ejemplo .CUR, .ICO, etc.
un saludo