Poważna dziura w Windows WMF
- Paweł Krawczyk,
- 29.12.2005, godz. 07:33
We wszystkich wersjach Windows odkryto poważną dziurę umożliwiającą uruchomienie złośliwego kodu. Brak jest poprawki, jest za to exploit.
Problem jest związany z obsługą plików WMF (Windows Metafile) i dotyczy wszystkich wersji Windows do XP SP2 włącznie. Brak jest na razie poprawki ze strony Microsoftu.
Użytkownicy Internet Explorera mogą zostać zarażeni bez ich wiedzy po prostu wchodząc na stronę WWW zawierającą exploit. Użytkownicy Firefoksa pod Windows są bezpieczniejsi - do zarażenia dojdzie tylko po pobraniu i uruchomieniu pliku WMF, przy czym przeglądarka najpierw pyta nas o zgodę. Podobnie postępuje Opera.
Jednak w systemach, w których jest zainstalowany Google Desktop Search wystarczy samo pobranie pliku (nawet za pomocą Wget), ponieważ GDS uruchomi dziurawą bibliotekę Windows na pobranym pliku i... zarazi system za nas.
Dziura jest już aktywnie wykorzystywana do dystrybuowania koni trojańskich i spyware. Jest to więc kolejny przypadek tzw. "0-day exploit" czyli dziury, która jest wykorzystywana do złośliwych celów przed publicznym jej ujawnieniem i - co gorsza - udostępnieniem poprawek.
Źródłem koni trojańskich wykorzystujących dziurę w WMF jest prawdopodobnie Rosja. F-Secure zaleca blokowanie na zaporach jakiekolwiek dostępu do następujących domen, wykorzystywanych przez wymienione programy:
Crackz [kropka] ws
unionseek [kropka] com
www.tfcco [kropka] com
Iframeurl [kropka] biz
beehappyy [kropka] biz
Większość programów antywirusowych powinna z wczorajszym uaktualnieniem pobrać sygnaturę pozwalającą na blokowanie wirusa.
Więcej informacji: SA18255
Microsoft potwierdził, że dziura dotyczy wszystkich głównych linii Windows: Windows ME, Windows 2000, Windows XP and Windows 2003. Błąd, który ją powoduje leży w bibliotece Shimgvw.dll wykorzystywanej przez Windows Picture and Fax Viewer.
Skutecznym i zalecanym przez Microsoft obejściem dziury do czasu opublikowania poprawki jest wyłączenie tej biblioteki:
1. Uruchamiamy Start->Uruchom
2. Wpisujemy polecenie "regsvr32 -u %windir%\system32\shimgvw.dll" (bez cudzysłowów)
3. Pojawi się okienko potwierdzające odrejestrowanie bibliteki
Procedura spowoduje że nie będzie działać podgląd obrazków za pomocą wbudowanej w Windows przeglądarki (Windows Picture and Fax Viewer). Po instalacji poprawki można ją odwrócić, pomijając opcję "-u" w poleceniu "regsvr32".
Do listy domen blokowany na zaporach należy dopisać poniższe domeny, wykorzystywane przez programy pobierające konie trojańskie i spyware po wykorzystaniu dziury WMF:
toolbarbiz[dot]biz
toolbarsite[dot]biz
toolbartraff[dot]biz
toolbarurl[dot]biz
buytoolbar[dot]biz
buytraff[dot]biz
iframebiz[dot]biz
iframecash[dot]biz
iframesite[dot]biz
iframetraff[dot]biz
iframeurl[dot]biz