I pericolosi worm delle immagini WMF

E’ stata scoperta una nuova pesantissima falla nei sistemi operativi Microsoft. Tutte le versioni di Windows (Windows 2000, Windows XP – SP1/SP2, Windows 2003) sono vulnerabili all’esecuzione remota di codice attraverso un errore nella manipolazione delle immagini codificate nel formato Windows MetaFile (WMF).

Si vocifera che potrebbero passare parecchi giorni prima che la Microsoft rilasci una patch.

Per il momento quindi non esistono soluzioni ufficiali definitive. Sono state però proposte diverse soluzioni momentanee al problema (quelle che qui chiamiamo tapulli). La meno invasiva è presa direttamente dal Security Advisory 912840 della Microsoft (cfr. Suggested Actions):

Un-register the Windows Picture and Fax Viewer (shimgvw.dll)

1. Click Start, click Run, type: regsvr32 -u %windir%system32shimgvw.dll

(without the quotation marks), and then click OK.

2. A dialog box appears to confirm that the un-registration process has succeeded.

Click OK to close the dialog box.

Impact of Workaround: The Windows Picture and Fax Viewer will no longer be started

when users click on a link to an image type that is associated with the Windows Picture and Fax Viewer.

La de-registrazione di shimgvw.dll rende il sistema meno vulnerabile, ma non safe perché il nucleo del problema è insito in un’altro file di sistema: gdi32.dll.

Windows GDI is an interface that “… enables applications to use graphics and formatted text on both the video display and the printer.” GDI functions can be used to draw lines, text, curves and other graphical elements.

Per giunta nei giorni scorsi è stato individuato il primo worm che sfrutta questa debolezza. Si tratta di una falsa immagine jpg che circola attraverso un link (“http://[cut]/xmas-2006 FUNNY.jpg”) via MSN. Questa falsa immagine è in realtà una pagina web con un link a un file WMF infetto.

This wmf will download and execute a .vbs file which is detected as Trojan-Downloader.VBS.Psyme.br which in turn will download an Sdbot. The IRCBot is detected as Backdoor.Win32.SdBot.gen by KAV.

Esiste anche una variante rappresentata da un messaggio contenente una falsa immagine chiamata HappyNewYear.jpg. In sostanza occhio ai messaggi di auguri e alle immagini (non sicure) in genere!

Il problema è che proprio ieri è stata resa disponibile una nuova versione dell’exploit WMF, da cui scaturiranno sicuramente nuove varianti dei worm. La pubblicazione di codice malizioso (utilizzabile per creare worm più efficaci, quindi più pericolosi) in giorni come questi rende più difficile il lavoro dei produttori di sistemi di protezione (antivirus, ecc).

Termino indicandovi un rimedio più invasivo, ma praticamente “risulutivo”. Ilfak Guilfanov (autore di IDA) propone un sistema per patchare Windows viene proposto:

The fix works by injecting itself to all processes loading user32.dll. It patches the Escape() function in gci32.dll, revoking WMF’s SETABORT escape sequence that is the root of the problem. [ Hex blog post ]

Se si sceglie di utilizzare questo sistema aggressivo bisogna ricordarsi di disinstallare il fix proposto prima dell’utilizzo della patch ufficiale, che speriamo venga rilasciata al più presto.

ulteriori informazioni: US-CERT Vulnerability Note VU#181038, WMF exploit FAQ

aggiornamento: il post continua qui

This entry was posted in Null. Bookmark the permalink.

Leave a Reply