"Dziura w WMF" - do 10 stycznia jesteście zagrożeni

Firmy antywirusowe donoszą o coraz większej liczbie wykrywanych w sieci exploitów, które mogłyby wykorzystać lukę w mechanizmie WMF systemu Windows. Obrazu chaosu dopełniają sprzeczne informacje dochodzące z różnych źródeł - SANS Institute zaleca jak najszybsze pobranie i zanistalowanie nieoficjalnego patcha, Microsoft natomiast radzi, aby czekać na oficjalną łatę. "Kończymy już testy uaktualnienia" - powiedział nam Bartłomiej Danek, rzecznik polskiego oddziału Microsoftu. "Udostępnimy je użytkownikom najpóźniej ok. 10 stycznia". Wygląda więc na to, że użytkownikom Windows niebezpieczeństwo wynikające z dziurawego mechanizmu WMF będzie zagrażać jeszcze przez tydzień.

Pierwsze ostrzeżenie w tej sprawie dziury Microsoft umieścił na swojej stronie internetowej 28 grudnia 2005 r. - dzień po tym, jak firma została powiadomiona o istnieniu zagrożenia. We wtorek 3 stycznia koncern poinformował, iż patch jest już gotowy, jednak jego testy potrwają jeszcze co najmniej kilka dni. Najpóźniej zostanie on udostępniony 10 stycznia. Mimo ostrzeżeń koncernu z Redmond, aby nie instalować nieoficjalnego patcha, społeczność internetową ogarnęła psychoza strachu - serwis HexBlog udostępniający poprawkę zanotował tak gwałtowny wzrost liczby odwiedzin internautów, próbujących ją pobrać, iż w krótkim czasie został zablokowany. Nic dziwnego, skoro niektóre firmy antuwirusowe opublikowały już sygnatury zidentyfikowanych exploitów - należy do nich m.in. Symantec, który informuje o wykryciu exploita o nazwie Bloodhound.Exploit.56.

Pobranie patcha zaleciły Instytut SANS i fińska firma F-Secure, mimo iż jego autor, Ilfak Guilfanov, wyraźnie zaznaczył, iż nie bierze odpowiedzialności za jego działanie. Skąd zatem ta rekomendacja? Marko Hypponen, szef fińskiej firmy, jest rozbrajająco szczery: "Znamy autora, sprawdziliśmy kod - patch działa dokładnie tak, jak opisał autor, poza tym zainstalowaliśmy go na naszych komputerach". Sam Guilfanov zalecał jednakowoż niezwłoczne pobranie i zainstalowanie oficjalnej łaty Microsoftu, kiedy tylko zostanie ona udostępniona przez giganta z Redmond.

Zobacz również:

Masz laptopa Lenovo? Jesteś w niebezpieczeństwie

Ekstremalne niebezpieczeństwo

Secunia raportuje na swojej głównej stronie, że dziura jest "ekstremalnie niebezpieczna". Jako rozwiązanie podano nie zapisywanie, otwieranie lub oglądanie obrazków nieznanego pochodzenia z poczty elektronicznej lub otwierania folderów sieciowych. Ryzyko infekcji może być zmniejszone poprzez wyrejestrowanie biblioteki Shimgvw.dll

Otwórz menu Start, kliknij Uruchom i wpisz regsvr32 -u %windir%\system32\shimgvw.dll (windir oznacza katalog Windows, który domyślnie znajduje się w lokacji C:\Windows). Kliknij przycisk OK. W wyniku tej operacji w podglądzie folderów generowanych przez Internet Explorera przestaną pojawiać się miniaturki obrazów.

Metodą alternatywną jest zmiana konfiguracji wyświetlania stron internetowych. W oknie Internet Explorera klikamy w tym celu menu Narzędzia | Opcje internetowe | Bezpieczeństwo (Zabezpieczenia). Teraz nalezy kliknąć ikonę Internet i przycisk Poziom niestandardowy.... Znajduje się tam opcja Uruchamianie programów i plików w IFRAME - należy zaznaczyć pole wyboru Wyłączone i zatwierdzić zmiany.

Okryta już złą sławą dziura dotyczy formatu przenoszenia plików graficznych WMF, czyli Windows MetaFile. Po otwarciu spreparowanego pliku WMF, system może zostać zmuszony do wykonania niebezpiecznego kodu. O szczegółach sprawy szerzej informujemy w artykule "W Windows znowu zieje dziura - i to jaka!", przypomnijmy zatem tylko, na czym polega zagrożenie: użytkownik odwiedza witrynę, w której kodzie HTML znajduje się tylko znacznik iframe - powoduje on załadowanie pliku WMF (przy czym "szkodnik" może zmienić rozszerzenie dowolnemu plikowi graficznemu, np. JPG, czy GIF). W Internet Explorerze plik taki automatycznie otwiera się w Podglądzie obrazów i faksów, w przeglądarkach alternatywnych użytkownik jest pytany zapisanie pliku lub o otwarcie go w przeglądarce grafik.

WMF? Znamy te numery!

Przypomnijmy, że w biuletynie bezpieczeństwa z listopada 2005 r. Microsoft udostępnił patcha łatającego trzy krytyczne dziury właśnie w module odpowiedzialnym za przetwarzanie grafik w formacie WMF. Godzien uwagi jest fakt, iż luki te wykryły niezależnie od siebie firmy eEye Digital Security, Symantec oraz Venustech AdDLab, a pierwsza z wymienionych poinformowała o tym koncern z Redmond w marcu 2005 r., czyli siedem miesięcy wcześniej.

Opisywany w biuletynie MS 05-053 problem dotyczył plików WMF oraz EMF (Windows Metafile/Enhanced Metafile). Koncern uspokajał wtedy, że do chwili publikacji łaty nie stwierdzono żadnego przypadku wykorzystania którejkolwiek z trzech nowych dziur do przeprowadzenia ataku na komputer - aczkolwiek w Sieci pojawił się już pierwszy exploit, umożliwiający zawieszenie niezałatanego systemu... Czyżby koncern sprowokował cyberprzestępców?

Jako ciekawostkę należy tu uznać fakt, iż dziura ta - o czym donosi F-Secure - nie jest luką w systemie w powszechnym znaczeniu tego słowa. Do wywołania złośliwego kodu wykorzystywana jest bowiem natywna funkcja przypisana formatowi WMF, czyli Escape i jej podfunkcja SetAbortProc (są one częścią standardowego Windows GDI, Graphics Device Interface).

Aktualizacja: 13 stycznia 2006 01:33

Dodaliśmy film prezentujący skutki wykorzystania dziury przy przetwarzaniu grafiki WMF: w ciągu trzech minut od wczytania spreparowanego obrazka w naszym systemie pojawiło się 14 bardzo podejrzanych aplikacji, z czego cztery udawały programy antispyware. Przepraszamy za żywiołowość komentatora, ale dźwięk i obraz nagrywany był równocześnie, na komputerze wymykającym się spod kontroli.

Zapraszamy!

Aktualizacja: 09 stycznia 2006 16:27

Jak mówi Debby Fry Wilson z MS Security Response Center, pierwotnie Microsoft zakładał, że łatka zostanie opublikowana w normalnym, zupełnie standardowym cyklu. Problem był poważny, jednak mimo tego nie pojawił się lawinowy wzrost liczby ataków na systemy Windows.

Dopiero liczne głosy użytkowników sprawiły - opowiada dalej Wilson - że prace nad patchem przyspieszono. Najwięcej czasu zajął proces testowania w rozmaitych konfiguracjach sprzętowych i programowych; nie jest to bowiem szybka blokada exploita, lecz kompletny pakiet zapobiegający wykorzystaniu dziury.

Niebezpieczeństwo w... WINE?

Okazuje się, że odpowiednio spreparowane pliki WMF nie zagrażają już nowszym wersjom Windows, natomiast ciągle mogą doprowadzić do zainstalowania konia trojańskiego w... Linuksie. I choć jest to dużo trudniejsze niż w OS-ie Microsoftu, doskonałość WINE sprawia, iż stało się możliwe!

Twórcy WINE na razie nie udostępnili zaktualizowanej wersji swego pakietu.

Warto przy okazji przypomnieć, że WINE jest pakietem bibliotek umożliwiającym uruchamianie aplikacji tworzonych z myślą o systemach Windows w OS-ach zgodnych z POSIX-em, czyli na przykład w Linuksie.

Aktualizacja: 05 stycznia 2006 22:44

Wygląda na to, że Microsoft błyskawicznie uwinął się z łatą dla dziury w Graphics Rendering Engine, którą dawało się wyeksploitować dzięki odpowiednio spreparowanym plikom WMF. Wszystkie komputery z systemem Windows XP powinny być właśnie w trakcie pobierania odpowiedniego uaktualnienia.

Dodatkowe informacje oraz łata do pobrania: witryna Microsoftu

Aktualizacja: 05 stycznia 2006 11:48

O komentarz poprosiliśmy Jakuba Dębskiego z firmy ArcaBit.

Wedle ostatnich danych, w Sieci jest juz ponad 70 rożnych "szkodników", atakujących poprzez ową dziurę w systemie. Przed iloma z nich chroni w tej chwili Państwa oprogramowanie?

Nasze oprogramowanie chroni przed większością złośliwych programów wykorzystujących ten błąd. Niebezpieczne pliki WMF wykrywamy analizując błędy w ich strukturze, dzięki czemu nie musimy tworzyć sygnatur na pojawiające się coraz to nowe zagrożenia.

Czy w związku z tą nietypową sytuacją powołali państwo jakąś specjalną grupę, która jest odpowiedzialna za jak najszybsze wykrywanie nowych zagrożeń związanych z luką w WMF i natychmiastowe przygotowywanie nowych sygnatur? Niektóre zachodnie firmy tak właśnie zrobiły...

Dzięki zastosowanej przez nas metodzie nie jest to potrzebne - wykrywamy niebezpieczne pliki WMF heurystycznie. Identyfikujemy szkodniki również za pomocą scan-stringów, aby można było je jednoznacznie zidentyfikować, ale sama analiza heurystyczna wystarczy, aby ochronić użytkowników.

Jak ocenia Pan aktualne zagrożenie? Czy wśród nowych wirusów/trojanów/robaków są jakieś szczególnie groźne?

Zagrożenie jest bardzo duże, ponieważ wykorzystując ten błąd można odpowiednio spreparowanym plikiem WMF wykonać dowolny kod na komputerze użytkownika, który ma niezałatany system operacyjny. Ponieważ oficjalna łata jeszcze nie została opublikowana, polecam zastosować się do zaleceń firmy Microsoft i wykonanie z konta Administratora polecenia:

regsvr32 -u %windir%\system32\shimgvw.dll

co zabezpieczy użytkownika przed większością zagrożeń.

Można również zabezpieczyć swój komputer nieoficjalną łatą Ilfaka Guilfanova (HexBlog.com), jednak nie jest to łata wspierana przez firmę Microsoft i nie wiadomo, czy jej zaaplikowanie nie spowoduje nieprzewidzianych problemów. Znając doświadczenie Guilfanova można jednak zakładać, że jest ona bezpieczna.

Czy Pana zdaniem coś może uzasadniać tak długie zwlekanie Microsoftu z udostępnieniem odpowiedniej łatki?

Nie jest to aż tak długi czas, biorąc pod uwagę proces tworzenia łaty oraz późniejszego przetestowania jej. Wprowadzenie łat "na szybko" może owocować stworzeniem nowych dziur lub - co gorsza - spowodować błędy działania zainstalowanych aplikacji lub samego systemu operacyjnego. Firma pokroju Microsoft nie może pozwolić sobie na to, że wprowadzona poprawka spowoduje np. zaprzestanie działania systemu. W takim przypadku użytkownicy nie mogliby wykorzystać systemu aktualizacji aby naprawić błąd.