"Dziura w WMF" - do 10 stycznia jesteście zagrożeni

Specjaliści ds. bezpieczeństwa komputerowego ostrzegają, iż dziura w mechanizmie WMF dotyczy wszystkich wersji Windows, jednak jak na razie liczba użytkowników, którzy ucierpieli w jej wyniku, nie jest jeszcze zbyt wielka. Należy jednak podkreślić, że systematycznie, aczkolwiek powoli, rośnie - przedstawiciele McAfee donoszą, iż od 31 grudnia liczba użytkowników oprogramowania tej firmy, których komputery zostały zainfekowane "złośliwymi" programami w wyniku dziurawego WMF, wzrosła z 6 do niemal 7,5 procent. Ryzyko wydaje się jeszcze większe, gdy weźmie się pod uwagę fakt, iż co bardziej zmyślni crackerzy mogą modyfikować wybrane, popularne witryny w Sieci tak, aby wykorzystać luki w systemach goszczących na nich internautów (potwierdzony przypadek takiego działania zgłosili m.in. właściciele witryny knoppix-std.org). Pojawiły się także exploity wykorzystujące internetowe komunikatory.

A może nie taki diabeł straszny?

Na Bugtraqu rozpętała się autentyczna burza: jeszcze w zeszłym roku pojawiły się moduły do Metasploita, teraz kolejni użytkownicy podsuwają adresy witryn piszących o dziurze w bibliotekach i sposobie jej wykorzystania. Pojawił się choćby odnośnik do bloga Kaspersky Labs mówiący o fakcie, iż problem dotyczy nie biblioteki Shimgvw.dll, lecz Gdi32.dll.

Olbrzym stoi? Stoi, ale ma gliniane nogi - afera wygląda na bardzo rozdmuchaną. Okazuje się bowiem, że trafienie na stronę rozpowszechniającą spreparowane pliki WMF i trojany wcale nie jest łatwe! Wszystkie cytowane na Bugtraqu adresy już nie działają:

http://69.50.183.34/xpl.wmf

http://unionseek.com/d/t1/wmf_exp.htm (adres cytowany przez SANS)

http://beehappyy.biz/parthner3/xpl.wmf

http://www.tfcco.com/xpl.wmf

http://buytoolbar.biz/xpl.wmf

(Uwaga, należy z umiarem klikać w powyższe odsyłacze! Choć większość kont została już zdjęta, nie można wykluczyć, iż pierwszy serwer nie odpowiada z powodu przeciążenia wywołanego nadmierną liczbą pobieranych jednocześnie koni trojańskich!)

Mimo naprawdę szczerych chęci i doniesień o exploitach atakujących ze wszystkich stron, nie udało nam się znaleźć ani jednego portalu, który rzeczywiście z nich korzysta. Pozostał nam tylko stary plik xpl.wmf, który prócz wywołania komunikatu o błędzie i próby nawiązania z serwerem (pierwszym z listy) nie jest w stanie w żaden sposób zagrozić komputerowi.

Po otwarciu pliku WMF następuje próba połączenia z portalem, z którego miał być pobrany trojan. Próba została zablokowana przez firewall, jednak nawet bez niego operacja by się nie powiodła - serwer bowiem nie odpowiada

Po otwarciu pliku WMF następuje próba połączenia z portalem, z którego miał być pobrany trojan. Próba została zablokowana przez firewall, jednak nawet bez niego operacja by się nie powiodła - serwer bowiem nie odpowiada

Korzystając z kilku prywatnych kont służących, przetestowaliśmy 250 przypadkowo wybranych e-maili z załączonymi grafikami z minionych dwóch tygodni (należy bowiem pamiętać, że nic nie stoi na przeszkodzie, by plikom *.wmf zmodyfikować rozszerzenie do *.gif czy *.jpg; ciągle będą one szkodliwe). Okazało się, że wśród informacji na temat przedłużania organów płciowych, zakupu V1agry czy "Rolex Replicas" nie pojawił się ani jeden plik WMF.

Tym niemniej panika wybuchła. Po części dali się jej ponieść nawet opanowani zwykle czytelnicy Bugtraqa, w tym wielu znanych programistów i dziennikarzy. Wygląda jednak na to, że do zabezpieczenia się przed exploitem w pliku WMF wystarczy odrobina zdrowego rozsądku, ewentualnie wyrejestrowanie biblioteki i wyłączenie IFRAME w opcjach Internet Explorera. Użytkownicy wyjątkowo zestresowani powinny dla świętego spokoju zainstalować alternatywną przeglądarkę, na przykład Mozillę Firefox lub Operę.