W Windows znowu zieje dziura - i to jaka!

Na Bugtraqu zawrzało. Kilka osób niezależnie doniosło o exploicie potrafiącym wykorzystać lukę w silniku graficznym Windows XP i np. pobierającym bez wiedzy użytkownika konia trojańskiego. I to niemal bez względu na liczbę zainstalowanych łat czy obecność oprogramowania antywirusowego! Teoretycznie udostępnienie exploita to nic strasznego: trzeba umieć go skompilować, wykorzystać itd. Praktyka pokazuje jednak, że cyberwłamywacze tylko czekają na takie "okazje", by spożytkować dzieło innych programistów w celu stworzenia wirusa. Istnieją już trojany wykorzystujące bug, a łatki Microsoftu ciągle nie ma. Czyżby groziła nam kolejna epidemia?

Jak pisze jeden z pracowników SANS Institute: "Kiedy myśleliśmy już, że to będzie następny zwykły dzień, na Bugtraqu pojawiła się wiadomość o exploicie wykorzystującym niezałataną lukę w (...) Windows Graphics Rendering Engine".

Złośliwy kod w Operze działającej pod Windows NT4

Złośliwy kod w Operze działającej pod Windows NT4

Nie działa już opublikowany w raporcie SANS adres, z którego można było pobrać spreparowany (czytaj: właściwie uszkodzony) plik WMF. Jednak na Bugtraqu łatwo znaleźć odsyłacze do innych serwisów. Wiadomo, że przynajmniej niektóre z nich były już wykorzystywane do rozpowszechniania trojanów.

WMF - zarazisz się, gdy dotkniesz

WMF, czyli Windows MetaFile, to odrobinę zapomniany dziś format przenoszenia plików graficznych. Jego 16-bitowa odmiana pochodzi z czasów Windows 3.x, obecnie (systemy od Windows 95 do Windows Server 2003) wykorzystywany jest raczej 32-bitowy WMF.

Mechanizm wyglądał następująco: użytkownik wchodził na witrynę. W pliku HTML znajdował się tylko znacznik iframe, który powodował załadowanie pliku *.wmf (może być to również *.jpg, *.gif lub inny plik graficzny, któremu złośliwy użytkownik zmienił rozszerzenie). A później było już z górki: jeśli użytkownik korzystał z Firefoksa lub Opery, przeglądarka pytała o pobranie pliku lub jego otwarcie w pozornie nieszkodliwej aplikacji, czyli w programie obsługującym grafiki. W Internet Explorerze (i nakładkach) plik automatycznie otwierał się w Picture and Fax Viewerze (Podgląd obrazów i faksów).

Igraszki z ogniem? Nie, exploit i tak już się wykonał

Igraszki z ogniem? Nie, exploit i tak już się wykonał

Tak niektórzy rozpowszechniają trojany przy pomocy exploita

Tak niektórzy rozpowszechniają trojany przy pomocy exploita

Nawet jeśli użytkownik jest "przezorny" i zdecyduje się wyłącznie na pobranie pliku na dysk, exploit wykorzysta dziurę. Dzieje się tak, gdyż Eksplorator Windows stara się wygenerować miniaturkę nowej grafiki "na wszelki wypadek", w razie, gdyby użytkownik zdecydował się włączenie podglądu miniaturek w folderach.

Ta "grafika" cicho pobierała trojana przedstawiającego się jako program antywirusowy i antispyware o nazwie Winhound. A czasem takiego, który się nie przedstawiał.

Aktualizacja: 30 grudnia 2005 10:44

Zgodnie z badaniami eEye, wrażliwe są nie tylko Windows XP i Server 2003, ale również Windows 98, Windows Me oraz Windows 2000. Po testach przeprowadzonych w redakcji możemy dodać, że również posiadacze Windows NT4 powinny obawiać się spreparowanych plików WMF.

Wygląda więc na to, że tylko posiadacze Windows 95 oraz starszych systemów Microsoftu mogą spać spokojnie.