W Windows znowu zieje dziura - i to jaka!

Uszkodzony plik WMF w Firefoksie

Uszkodzony plik WMF w Firefoksie

Kluczowy jest jeden z elementów konfiguracji. Z menu Narzędzia wybierzmy Opcje internetowe | Bezpieczeństwo (lub "Zabezpieczenia") zaznaczmy ikonkę Internet i kliknijmy Poziom niestandardowy.... Tam znajdźmy opcję, w której nazwie znajduje się słowo IFRAME (zwykle "Uruchamianie programów i plików w IFRAME") i zmieńmy jej ustawienie na Wyłączone. Później pozostaje tylko potwierdzić fakt zmiany poziomu zabezpieczeń i gotowe.

Należy jednak pamiętać, że opcja ta może zmienić wygląd niektórych witryn WWW.

Istnieje również inna możliwość. Z linii poleceń (Start | Wszystkie programy... | Akcesoria | Wiersz polecenia) należy uruchomić następującą komendę: regsvr32 shimgvw.dll /u. Niestety, w tym wypadku metoda jest dość inwazyjna - w podglądzie folderów generowanych przez Internet Explorera przestaną pojawiać się miniaturki obrazów.

Pytamy o zdanie Michała Jarskiego, eksperta z Internet Security Systems

PC World Komputer Online: Co teraz powinien zrobić użytkownik Windows XP? Nie pomaga przecież nawet stosowanie Firefoksa, bo problem dotyczy systemu operacyjnego.

Michał Jarski, ISS: Luka w obsłudze plików WMF wymaga do wykorzystania interakcji ze strony użytkownika - musi on otworzyć przesłany plik WMF (co jest stosunkowo proste, bo domyślnie uruchamia się Fax and Picture Viewer). Co sprytniejsi włamywacze oprócz ordynarnego załączenia zmajstrowanego pliku do e-maila mogą pomyśleć o wysłaniu atrakcyjnego (czyli najpewniej w tym przypadku pornograficznego) spamu z linkami do obrazów do kliknięcia, stworzeniu stron WWW z linkami namawiającymi do skorzystania z niepowtarzalnej okazji obejrzenia jakiegoś niesamowitego obrazu.

Możliwe jest też wykorzystanie bardziej zaawansowanych metod z użyciem JavaScript (wraca do łask) lub innych narzędzi, które pozwolą na ukryte, nie wymagające potwierdzenia ze strony użytkownika pobranie pliku z zaszytym kodem atakującym.

Luka jest bardzo groźna, gdyż:

* pozwala na przejęcie pełnej kontroli nad komputerem i swobodne włamanie do sieci, do której jest wpięty;

* jest już dostępny sprawdzony i działający proof-of-concept (chociażby w ramach projektu Metasploit) - X-Force potwierdził skuteczność tego próbnego exploitu;

* w najbliższych dniach należy spodziewać się pojawienia kolejnych exploitów (np.http://archives.neohapsis.com/archives/bugtraq/2005-12/0305.html) i fali robaków (jak w przypadku Zotoba);

* luka działa również w XP z SP2 oraz WinServer 2003, a MS nie opublikował dotąd żadnej poprawki!

Co ma zrobić użytkownik Windows:

* zachować daleko posunięta ostrożność w otwieraniu załączników,

* zwrócić uwagę na pliki WMF,

* zaawansowani użytkownicy mogą spróbować "odlinkować" Fax and Picture Viewer od plików WMF w explorerze (co spowoduje, że nie będzie on automatycznie uruchamiany do wyświetlania WMFów, więc exploit nie zadziała).

Skuteczność systemów obronnych:

* jak zwykle bazujące na sygnaturach ruszą w obłędny wyścig z kolejnymi wersjami, mutacjami i odmianami exploitów WMF-owych (w tej chwili F-Secure wykrywa pierwszy exploit, a Symantec nie, ale to się za chwilę zmieni);

* tylko rowzwiązania broniące przed wrogim zachowaniem, rozpoznające każdą próbę wykorzystania luki w obsłudze plików WMF - a nie koncentrujące się na konkretnym kodzie atakującym - są w stanie tu pomóc.

Czy słuszne są obawy, że w przyszłości będzie więcej takich ataków na pozornie nieszkodliwe aplikacje?

Zdecydowanie tak!

Co na to firmy tworzące oprogramowanie zabezpieczające?

ISS opublikowało Virtual Patch na lukę WMF 28.12.2005. Wszystkie ataki na handlery plików WMF będą identyfikowane jako "Image_WMF_RecordSize_Overflow" i blokowane. Podnieśliśmy jednocześnie AlertCon do poziomu 2 ze względu na brak poprawek Microsoftu dla tej luki.

Jest też ostrzeżenie ze strony X-Force:http://xforce.iss.net/xforce/alerts/id/211

Jak napisałem wyżej - F-Secure rozpoznaje pierwsze exploity, ale nie wiadomo, czy nie pogubi się przy następnych mutacjach. Symantec nic nie umie w tej chwili zrobić. Juniper, McAfee - także cisza. Microsoft opublikował tylko raport.