"Dziura w WMF" - do 10 stycznia jesteście zagrożeni
Firmy antywirusowe donoszą o coraz większej liczbie wykrywanych w sieci exploitów, które mogłyby wykorzystać lukę w mechanizmie WMF systemu Windows. Obrazu chaosu dopełniają sprzeczne informacje dochodzące z różnych źródeł - SANS Institute zaleca jak najszybsze pobranie i zanistalowanie nieoficjalnego patcha, Microsoft natomiast radzi, aby czekać na oficjalną łatę. "Kończymy już testy uaktualnienia" - powiedział nam Bartłomiej Danek, rzecznik polskiego oddziału Microsoftu. "Udostępnimy je użytkownikom najpóźniej ok. 10 stycznia". Wygląda więc na to, że użytkownikom Windows niebezpieczeństwo wynikające z dziurawego mechanizmu WMF będzie zagrażać jeszcze przez tydzień.
Pierwsze ostrzeżenie w tej sprawie dziury Microsoft umieścił na swojej stronie internetowej 28 grudnia 2005 r. - dzień po tym, jak firma została powiadomiona o istnieniu zagrożenia. We wtorek 3 stycznia koncern poinformował - http://www.microsoft.com/technet/security/advisory/912840.mspx, iż patch jest już gotowy, jednak jego testy potrwają jeszcze co najmniej kilka dni. Najpóźniej zostanie on udostępniony 10 stycznia. Mimo ostrzeżeń koncernu z Redmond, aby nie instalować nieoficjalnego patcha, społeczność internetową ogarnęła psychoza strachu - serwis HexBlog udostępniający poprawkę zanotował tak gwałtowny wzrost liczby odwiedzin internautów, próbujących ją pobrać, iż w krótkim czasie został zablokowany. Nic dziwnego, skoro niektóre firmy antuwirusowe opublikowały już sygnatury zidentyfikowanych exploitów - należy do nich m.in. Symantec, który informuje o wykryciu exploita o nazwie Bloodhound.Exploit.56 - http://securityresponse.symantec.com/avcenter/venc/data/bloodhound.exploit.56.html.
Pobranie patcha zaleciły Instytut SANS i fińska firma F-Secure, mimo iż jego autor, Ilfak Guilfanov, wyraźnie zaznaczył, iż nie bierze odpowiedzialności za jego działanie. Skąd zatem ta rekomendacja? Marko Hypponen, szef fińskiej firmy, jest rozbrajająco szczery: "Znamy autora, sprawdziliśmy kod - patch działa dokładnie tak, jak opisał autor, poza tym zainstalowaliśmy go na naszych komputerach". Sam Guilfanov zalecał jednakowoż niezwłoczne pobranie i zainstalowanie oficjalnej łaty Microsoftu, kiedy tylko zostanie ona udostępniona przez giganta z Redmond.
Okryta już złą sławą dziura dotyczy formatu przenoszenia plików graficznych WMF, czyli Windows MetaFile. Po otwarciu spreparowanego pliku WMF, system może zostać zmuszony do wykonania niebezpiecznego kodu. O szczegółach sprawy szerzej informujemy w artykule "W Windows znowu zieje dziura - i to jaka!" - http://www.idg.pl/news/86921.html, przypomnijmy zatem tylko, na czym polega zagrożenie: użytkownik odwiedza witrynę, w której kodzie HTML znajduje się tylko znacznik iframe - powoduje on załadowanie pliku WMF ( przy czym "szkodnik" może zmienić rozszerzenie dowolnemu plikowi graficznemu, np. JPG, czy GIF ). W Internet Explorerze plik taki automatycznie otwiera się w Podglądzie obrazów i faksów, w przeglądarkach alternatywnych użytkownik jest pytany zapisanie pliku lub o otwarcie go w przeglądarce grafik.
Jako ciekawostkę należy tu uznać fakt, iż dziura ta - o czym donosi F-Secure - nie jest luką w systemie w powszechnym znaczeniu tego słowa. Do wywołania złośliwego kodu wykorzystywana jest bowiem natywna funkcja przypisana formatowi WMF, czyki Escape i jej podfunkcja SetAbortProc ( są one częścią standardowego Windows GDI, Graphics Device Interface ).Specjaliści ds. bezpieczeństwa komputerowego ostrzegają, iż dziura w mechanizmie WMF dotyczy wszystkich wersji Windows, jednak jak na razie liczba użytkowników, którzy ucierpieli w jej wyniku, nie jest jeszcze zbyt wielka. Należy jednak podkreślić, że systematycznie, aczkolwiek powoli, rośnie - przedstawiciele McAfee donoszą, iż od 31 grudnia liczba użytkowników oprogramowania tej firmy, których komputery zostały zainfekowane "złośliwymi" programami w wyniku dziurawego WMF, wzrosła z 6 do niemal 7,5 procent. Ryzyko wydaje się jeszcze większe, gdy weźmie się pod uwagę fakt, iż co bardziej zmyślni crackerzy mogą modyfikować wybrane, popularne witryny w Sieci
tak, aby wykorzystać luki w systemach goszczących na nich internautów ( potwierdzony przypadek takiego działania zgłosili m.in. właściciele witryny knoppix-std.org - http://www.knoppix-std.org ). Pojawiły się także exploity wykorzystujące internetowe komunikatory - http://www.viruslist.com/en/weblog?discuss=176892530&return=1.
A może nie taki diabeł straszny?
Na Bugtraqu rozpętała się autentyczna burza: jeszcze w zeszłym roku pojawiły się moduły do Metasploita, teraz kolejni użytkownicy podsuwają adresy witryn piszących o dziurze w bibliotekach i sposobie jej wykorzystania. Pojawił się choćby odnośnik do bloga Kaspersky Labs mówiący o fakcie, iż problem dotyczy nie biblioteki Shimgvw.dll, lecz Gdi32.dll.
Olbrzym stoi? Stoi, ale ma gliniane nogi - afera wygląda na bardzo rozdmuchaną. Okazuje się bowiem, że trafienie na stronę rozpowszechniającą spreparowane pliki WMF i trojany wcale nie jest łatwe! Wszystkie cytowane na Bugtraqu adresy już nie działają:
http://69.50.183.34/xpl.wmf
http://unionseek.com/d/t1/wmf_exp.htm ( adres cytowany przez SANS )
http://beehappyy.biz/parthner3/xpl.wmf
http://www.tfcco.com/xpl.wmf
http://buytoolbar.biz/xpl.wmf
( Uwaga, należy z umiarem klikać w powyższe odsyłacze! Choć większość kont została już zdjęta, nie można wykluczyć, iż pierwszy serwer nie odpowiada z powodu przeciążenia wywołanego nadmierną liczbą pobieranych jednocześnie koni trojańskich! )
Mimo naprawdę szczerych chęci i doniesień o exploitach atakujących ze wszystkich stron, nie udało nam się znaleźć ani jednego portalu, który rzeczywiście z nich korzysta. Pozostał nam tylko stary plik xpl.wmf, który prócz wywołania komunikatu o błędzie i próby nawiązania z serwerem ( pierwszym z listy ) nie jest w stanie w żaden sposób zagrozić komputerowi.
Korzystając z kilku prywatnych kont służących, przetestowaliśmy 250 przypadkowo wybranych e-maili z załączonymi grafikami z minionych dwóch tygodni ( należy bowiem pamiętać, że nic nie stoi na przeszkodzie, by plikom _.wmf_ zmodyfikować rozszerzenie do _.gif_ czy *.jpg; ciągle będą one szkodliwe ). Okazało się, że wśród informacji na temat przedłużania organów płciowych, zakupu V1agry czy "Rolex Replicas" nie pojawił się ani jeden plik WMF.
Tym niemniej panika wybuchła. Po części dali się jej ponieść nawet opanowani zwykle czytelnicy Bugtraqa, w tym wielu znanych programistów i dziennikarzy. Wygląda jednak na to, że do zabezpieczenia się przed exploitem w pliku WMF wystarczy odrobina zdrowego rozsądku, ewentualnie wyrejestrowanie biblioteki i wyłączenie IFRAME w opcjach Internet Explorera. Użytkownicy wyjątkowo zestresowani powinny dla świętego spokoju zainstalować alternatywną przeglądarkę, na przykład Mozillę Firefox lub Operę.