W Windows znowu zieje dziura - i to jaka!
Na Bugtraqu zawrzało. Kilka osób niezależnie doniosło o exploicie potrafiącym wykorzystać lukę w silniku graficznym Windows XP i np. pobierającym bez wiedzy użytkownika konia trojańskiego. I to niemal bez względu na liczbę zainstalowanych łat czy obecność oprogramowania antywirusowego! Teoretycznie udostępnienie exploita to nic strasznego: trzeba umieć go skompilować, wykorzystać itd. Praktyka pokazuje jednak, że cyberwłamywacze tylko czekają na takie "okazje", by spożytkować dzieło innych programistów w celu stworzenia wirusa. Istnieją już trojany wykorzystujące bug, a łatki Microsoftu ciągle nie ma. Czyżby groziła nam kolejna epidemia?
Jak pisze jeden z pracowników SANS Institute: "Kiedy myśleliśmy już, że to będzie następny zwykły dzień, na Bugtraqu pojawiła się wiadomość z exploitem wykorzystującym niezałataną lukę w ( ... ) Windows Graphics Rendering Engine".Nie działa już opublikowany w raporcie SANS adres, z którego można było pobrać spreparowany ( czytaj: właściwie uszkodzony ) plik WMF. Jednak na Bugtraqu łatwo znaleźć odsyłacze do innych serwisów. Wiadomo, że przynajmniej niektóre z nich były już wykorzystywane do rozpowszechniania trojanów.
WMF - zarazisz się, gdy dotkniesz
WMF, czyli Windows MetaFile, to odrobinę zapomniany dziś format przenoszenia plików graficznych. Jego 16-bitowa odmiana pochodzi z czasów Windows 3.x, obecnie ( systemy od Windows 95 do Windows Server 2003 ) wykorzystywany jest raczej 32-bitowy WMF.
Mechanizm wyglądał następująco: użytkownik wchodził na witrynę. W pliku HTML znajdował się tylko znacznik iframe, który powodował załadowanie pliku _.wmf_ ( może być to również _.jpg, *.gif_ lub inny plik graficzny, któremu złośliwy użytkownik zmienił rozszerzenie ). A później było już z górki: jeśli użytkownik korzystał z Firefoksa lub Opery, przeglądarka pytała o pobranie pliku lub jego otwarcie w pozornie nieszkodliwej aplikacji, czyli w programie obsługującym grafiki. W Internet Explorerze ( i nakładkach ) plik automatycznie otwierał się w Picture and Fax Viewerze ( Podgląd obrazów i faksów ).Nawet jeśli użytkownik jest przezorny i zdecydował się pobrać plik na dysk, exploit wykorzystywał dziurę. Dzieje się tak, gdyż Eksplorator Windows stara się wygenerować miniaturkę nowej grafiki "na wszelki wypadek", w razie, gdyby użytkownik zdecydował się włączenie podglądu miniaturek w folderach.
Ta "grafika" cicho pobierała trojana przedstawiającego się jako program antywirusowy i antispyware o nazwie Winhound. A czasem takiego, który się nie przedstawiał.Jak podaje SANS, jeśli użytkownik korzysta z nowszego procesora Intela lub AMD oraz Windows XP SP2, ma szansę, że technologia DEP uchroni go przed wykorzystaniem dziury. SANS jeszcze tego nie potwiera, ale wszystko wskazuje na to, że programowa obsługa DEP nie chroni przed wykorzystaniem dziury.
Zgodnie z doniesieniami Secunii, narażeni są użytkownicy Windows XP SP1, Windows XP SP2, Windows Server 2003 i Windows Server 2003 SP1. Niewykluczone, że problem dotyczy również innych systemów operacyjnych.
WMF - dziura na dziurze
Od pewnego czasu Microsoft co rusz łata biblioteki związane m.in. z obsługą plików WMF ( patrz np. artykuł: "Microsoft: trzy krytyczne dziury, jeden patch - http://www.pcworld.pl/news/84971.html" ), jednak wygląda na to, że cyberprzestępcy upatrzyli sobie ataki na nie.
Jak się zabezpieczyć?
Błąd jest poważny, ale można się obronić przed jego wykorzystaniem. Na pewno niewiele pomoże nam zmiana przeglądarki internetowej - co najwyżej opóźnimy nieco moment zarażenia. Warto jednak pamiętać, że znajdujące się na wolności exploity wykorzystujące dziurę w WMF uruchamiają się zawsze z takimi samymi uprawnieniami, jak korzystający z przeglądarki użytkownik.
Jeśli zatem nie pracujemy na koncie Administratora, jesteśmy w minimalnym stopniu zabezpieczeni. A jeżeli dodatkowo uruchamiamy Internet Explorera ( lub inną przeglądarkę ) w przyciętym na jego miarę środowisku, możemy czuć się bezpiecznie ( patrz również artykuł: "Bezpieczny Internet Explorer - http://www.pcworld.pl/news/84872.html" ).Kluczowy jest jeden z elementów konfiguracji. Z menu Narzędzia wybierzmy Opcje internetowe | Bezpieczeństwo ( lub "Zabezpieczenia" ) zaznaczmy ikonkę Internet i kliknijmy Poziom niestandardowy.... Tam znajdźmy opcję, w której nazwie znajduje się słowo IFRAME ( zwykle "Uruchamianie programów i plików w IFRAME" ) i zmieńmy jej ustawienie na Wyłączone. Później pozostaje tylko potwierdzić fakt zmiany poziomu zabezpieczeń i gotowe.
Należy jednak pamiętać, że opcja ta może zmienić wygląd niektórych witryn WWW.
Istnieje również inna możliwość. Z linii poleceń ( Start | Wszystkie programy... | Akcesoria | Wiersz polecenia ) należy uruchomić następującą komendę: * regsvr32 shimgvw.dll /u*. Niestety, w tym wypadku metoda jest dość inwazyjna - w podglądzie folderów generowanych przez Internet Explorera przestaną pojawiać się miniaturki obrazów.