WMF FAQ

Cienījamie Antivirus.lv lasītāji! Piedāvājam Jums Internet Storm Center sagatavotās atbildes uz biežāk uzdotajiem jautājumiem par Windows ievainojamību, kas saistīta ar WMF failiem.

Zemāk sniegtā informācija ir papildināta ar prezentāciju dažādos formātos: PDF, Power Point, OpenOffice 2.0

Kādēļ šī problēma ir tik svarīga?

WMF ievainojamība nozīmē iespēju izmantot attēlus (WMF failus), lai izpildītu jebkuru kodu. Kods tiek izpildīts, kad lietotājs vienkārši pārlūko tādu attēlu. Lielākoties pat nav nepieciešams nekam uzklikšķināt. Uzbrukums var notikt pat tad, ja šādi attēli vienkārši glabājas datorā un kāda indeksēšanas programma tos indeksē. Uzbrukumu izraisa arī mapes pārlūkošana ar Windows Explorer, kad attēli tiek parādīti kā ikonas. Microsoft ir paziņojis, ka oficiālais labojums nebūs pieejams līdz 2006. gada 10. janvārim (nākošajam regulārajam atjauninājumam).

Ko labāk lietot - Firefox vai Internet Explorer?

Internet Explorer parāda attēlu un izraisa uzbrukumu, nekādi par to nebrīdinot. Jaunās Firefox versijas pirms attēla atvēršanas pieprasa apstiprināt šo darbību. Taču vairumā gadījumu šis apstāklis nenozīmē gandrīz nekādu aizsardzību, jo runa taču ir par attēliem, kuri tiek uzskatīti par "drošiem".

Kurām Windows versijām piemīt šī ievainojamība?

Windows XP (SP1 un SP2), Windows 2003 ir ievainojamas no pašlaik apritē esošajiem ievainojamību izmantojošajiem kodiem. Ievainojamība nepiemīt Mac OS-X, Unix un BSD.

Piezīme: Ja vēl lietojat Win98/ME, tad ir pēdējais laiks pieņemt lēmumu par modernizēšanu. Mūsuprāt (neesam to pārbaudījuši), šai sistēmai piemīt ievainojamība, un Microsoft to nelabos. Tādā situācijā ir ļoti maz iespēju novērst negatīvas sekas. Jums tiešām būtu jāpāriet uz modernāku operētājsistēmu.

Kas man jādara, lai aizsargātos?

1. Microsoft vēl nav publicējusi labojumu. Neoficiālu labojumu ir izlaidis Ilfaks Gilfanovs. To izvērtēja mūsu darbinieks Toms Listons, bet mēs to izmēģinājām. Novērtētā un pārbaudītā versija ir pieejama šeit (tagad v1.4, MD5: 15f0a36ea33f39c1bcf5a98e51d4f4f6), PGP paraksts (parakstīts ar ISC atslēgu) ir šeit. PALDIES Ilfakam Gilfanovam par šo labojumu!!

2. Varat no reģistra izdzēst "vainīgo" DLL.

3. Zināmu aizsardzību nodrošina antivīrusu programmas.

Lai no reģistra izdzēstu DLL:

Uzklikšķiniet Start, uzklikšķiniet Run, ievadiet "regsvr32 -u %windir%\system32\shimgvw.dll" (bez pēdiņām) un pēc tam uzklikšķiniet OK.

Parādās dialoga logs, lai apstiprinātu, ka izdzēšana no reģistra veiksmīgi pabeigta. Uzklikšķiniet OK, lai aizvērtu šo dialoga logu.

Mūsu pašreizējais "labākās prakses" ieteikums - izdzēst no reģistra šo DLL un pielietot neoficiālo labojumu.

Kā darbojas neoficiālais labojums?

Katrā procesā, kurā vajadzīgs ielādēt user32.dll, tiek ielādēts wmfhotfix.dll.  Šis DLL labo (atmiņā) gdi32.dll Escape() funkciju, lai tā ignorētu katru izsaukumu, kas lieto SETABORTPROC (t.i. 0x09) parametru.  Līdz ar to Windows programmas normāli var parādīt WMF failus, vienlaikus bloķējot uzbrukumu.  Šeit pieejamā labojuma versija ir rūpīgi salīdzināta ar saņemto sākumkodu, kā arī pārbaudīta ar visām zināmajām uzbrukuma versijām. Tai jādarbojas WinXP (SP1 un SP2) un Win2K operētājsistēmās.

Vai DLL izdzēšana no reģistra (nelietojot neoficiālo labojumu) mani aizsargās?

Iespējams, ka tas līdzēs. Taču tādā gadījumā nav simtprocentīgas garantijas. Jāsaka skaidri un gaiši: mums ir ļoti nopietnas aizdomas, ka vienkārša shimgvw.dll izdzēšana no reģistra ne vienmēr dod rezultātus. Dažādi ļaundabīgi procesi vai citas programmas var no jauna piereģistrēt šo .dll, un var rasties problēmas, kad .dll no jauna tiek piereģistrēts sistēmā, kurai notiek uzbrukums; tādā gadījumā uzbrukums var būt veiksmīgs.  Turklāt ir iespējams, ka var veikt citādu uzbrukumu pret Escape() funkciju failā gdi32.dll.  Kamēr nav labojuma no MS, iesakām izmantot neoficiālo labojumu, kā arī no reģistra izdzēst shimgvw.dll.

Bet varbūt varu vienkārši izdzēst pašu DLL failu?

Tā nav slikta doma, taču Windows File Protection šo failu droši vien atjaunos. Lai tā nenotiktu, jums iepriekš vajadzēs izslēgt Windows File Protection. Bet kad parādīsies oficiālais labojums, jums atkal vajadzēs sistēmā ievietot šo DLL. (labāks variants noteikti ir faila pārdēvēšana, jo tad nebūs jāizdzēš pats fails).

Varbūt varu bloķēt visus .WMF attēlus?

Tas nedaudz līdzēs, bet ar to vien būs par maz. WMF faili tiek identificēti ar speciālas galvenes palīdzību, un faila nosaukuma paplašinājumam te nav nekādas nozīmes. Šādus failus var atsūtīt ar jebkuru paplašinājumu, kā arī iekļautus MS Word vai citā dokumentā.

Kas ir DEP (Data Execution Protection - datu izpildes aizsardzība) un kā tā man var palīdzēt?

Microsoft DEP ieviesa operētājsistēmā XP SP2. Tā aizsargā pret daudziem un dažādiem uzbrukumiem, nepieļaujot "datu segmentu" izpildīšanu. Tomēr tās pareizai funkcionēšanai ir nepieciešams aparatūras atbalsts. Daži procesori, piemēram, AMD 64 bitu procesori, nodrošina pilnu DEP aizsardzību un nepieļauj šo uzbrukumu.

Vai antivīrusu programmas var pasargāt no uzbrukuma?

Patlaban mums ir zināmas uzbrukuma versijas, kuras antivīrusu programmas nespēj detektēt. Ceram, ka šis trūkums drīz tiks novērsts. Tomēr visu uzbrukuma veidu neitralizēšana nebūs iespējama bez smagas cīņas. Tādēļ pašlaik antivīrusu programmas, protams, ir nepieciešamas, bet ar tām vien laikam gan ir par maz.

Kā ļaundabīgs WMF fails var iekļūt manā sistēmā?

Tādu veidu ir tik daudz, ka tos visus vienkārši nevar uzskaitīt. Faili, kas piesaistīti e-pasta vēstulēm, Interneta peidžeri - lūk, iespējamākie infekcijas avoti. Taču neaizmirstiet arī failu apmaiņas tīklus un citas iespējas.

Vai būs diezgan, ja savus lietotājus brīdināšu, lai viņi neapmeklē neuzticamas interneta vietnes?

Nē. Tas nedaudz līdzēs, bet ar to vien laikam būs par maz. Mums ir zināma vismaz viena pilnīgi uzticama vietne (knoppix-std.org), kura tomēr bija inficēta. Vietne bija papildināta ar ietvaru, kurš lietotājus novirzīja uz ļaundabīgu WMF failu. Arī agrāk šādiem nolūkiem ir izmantotas "uzticamas" vietnes.

Kas tur īsti ir ar WMF attēliem?

WMF attēlu faili mazliet atšķiras no citiem attēlu failiem. Tajos ir nevis vienkārši informācija par to, ka "šis pikselis ir tādā un tādā krāsā", bet gan WMF faili var aktivizēt ārējas procedūras. Vienu no tādiem procedūras izsaukumiem var izmantot koda izpildīšanai.

Varbūt man vajag strādāt ar ierobežotām lietotāja tiesībām, lai ierobežotu uzbrukuma rezultātus?

Noteikti. Ikdienas darbu vispār nevajag veikt ar administratora tiesībām. Bet tādā veidā var ierobežot tikai uzbrukuma rezultātus, nevis novērst pašu uzbrukumu. Turklāt interneta pārlūkošana ir tikai viens no veidiem, kā izraisīt uzbrukumu. Ja tās rezultātā jūsu sistēmā nonāk kaitīgs attēla fails, tad tas var saglabāties līdz brīdim, kad to - neko nenojauzdams - aktivizēs lietotājs, kuram ir administratora tiesības. Un tad notiks uzbrukums.

Vai ievainojamība piemīt arī maniem serveriem?

Iespējams... Vai jūs atļaujat attēlu augšupielādēšanu ar e-pastu? Vai notiek šo attēlu indeksēšana? Vai serverī kādreiz lietojat Interneta pārlūkprogrammu? Īsi sakot, ja kāds jūsu serverī var novietot attēla failu un ja šo failu atver, izmantojot DLL, kuram piemīt ievainojamība, tad ievainojams ir arī jūsu serveris.

Kā es papildus varu konfigurēt perimetru / ugunsmūri, lai aizsargātu savu tīklu?

Tur neko daudz nevar darīt. Varbūt izmantot starpniekserveri, kurš nelaiž cauri attēlus pārlūkojamajās vietnēs? Nezin vai  tas ļoti patiks jūsu lietotājiem. Bloķējiet vismaz .WMF attēlus (skat. iepriekš par paplašinājumiem...). Ja starpniekserverim ir antivīruss, tad tas varētu līdzēt. Tas pats attiecas uz pasta serveriem. Jo mazāk ārējo savienojumu atļausiet lietotājiem, jo labāk. Rūpīgi novērojot lietotāju darbastacijas, var konstatēt, vai tās ir inficētas.

Vai uzbrukuma konstatēšanai varu izmantot IDS?

Vairums IDS firmu tagad izstrādā signatūras. Tuvāk par to uzzināsiet, sazinoties ar savu piegādātāju. Bleedingsnort.org pastāvīgi nodrošina uzlabotas signatūras snort lietotājiem.

Kas man jādara, ja notiek šāds uzbrukums manam datoram?

Tur neko daudz nevar darīt :-(. Ļoti daudz kas ir atkarīgs no uzbrukuma veida. Vairumā gadījumu tiek lejupielādēti papildu faili. Visus šos komponentus atrast ir grūti, pat neiespējami. Microsoft tādiem gadījumiem piedāvā bezmaksas tehnisko palīdzību pa telefonu 866-727-2389 (866 PC SAFETY).

Vai Microsoft sniedz kaut kādu informāciju?

http://www.microsoft.com/technet/security/advisory/912840.mspx

Bet patlaban nekāds labojums tur nav pieejams.

Ko saka CERT?

http://www.kb.cert.org/vuls/id/181038

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-4560

Vārds:
Epasts:
	Ievadiet kodu: