0-day exploit av WMF-filer…

Jeg undres hvor mye folk faktisk har lest om dette problemet. Jeg anbefaler i allefall å ta en titt på Microsoft sin egen advisory som svarer på en del av de mest innlysende spørsmålene (http://www.microsoft.com/technet/security/advisory/912840.mspx).

Dette er _ikke_ et IE-problem. Det _er_ et Windows-problem så lenge man inkluderer Windows Metafile-parseren i OS’et slik Microsoft selv gjør.

Det er ingen ‘smittefare’ slik det var med Code Red. Denne feilen kan kun utnyttes passivt, hvilket vil si at man selv må gjøre en aktiv handling for å bli smittet. Det er ingenting en ‘hacker’ kan gjøre for å angripe noen med denne svakheten. Eksempler på slike aktive handlinger er åpning av websider der noen har lagt ut skadelig kode, åpning av HTML-formatterte mailer i eldre versjoner av Outlook (Office XP og eldre), forhåndsvisning av HTML-mailer i Outlook Express og selvfølgelig, åpning av vedlegg eller WMF-filer fra kilder man ikke kjenner. Dog et par viktige ting ellers, se under.

Nå står det i advisoriet at kode kun blir kjørt i brukerens kontekst. Dette er dessverre ikke betryggende. Ved hjelp av blant annet teknikker som systemhooks kan kode kjørt fra enhver bruker skade systemet i vesentlig grad. ‘Vanlig’ begrensning av kjøremuligheter, for eksempel gjennom GPO eller andre eksekveringsbeskyttelser, baserer seg på å gjenkjenne når et program starter for godkjennelse av programmets kjørerettigheter. Problemet i dette tilfellet er at programmet allerede kjører, i form av at WMF-parseren kalles fra for eksempel iexplore.exe, outlook.exe eller forsåvidt andre programmer som bruker komponenten. Dermed blir det ingen eksekveringsbeskyttelse i det hele tatt.

En veldig nærliggende tanke er å bruke feilen til å installere rootkits.

Vær dog klar over at det er mange programmer som kan bruke parseren for å hente ut informasjon fra wmf-filer. Et eksempel på dette er Google sin desktop search. Dersom denne indekserer en infisert wmf-fil vil feilen utnyttes. Vær derfor ekstra forsiktig dersom du vil eksperimentere med infiserte wmf-filer. Det er heller ikke utenkelig at andre programmer som scanner filsystemet kan være utsatt for samme problem. Antivirus _bør_ ikke være sårbare ettersom de stort sett har sine egne parsere, men det kan være farlig å basere seg på at AV-folkene vet hva de gjør.

Det er relativt enkelt å skåne seg for problemer ved å avregistrere den gjeldende komponenten. Informasjon om dette står i advisoriet og for å inspirere til å lese dette tar jeg ikke med info om det her. Det er påstått av Sunbelt Software (http://sunbeltblog.blogspot.com/2005/12/dep-controversy.html), at selv avregistrering av komponenten ikke er tilstrekkelig, men utifra IBM IBM sin egen advisory ser det ut til at også de bruker komponenten til å finne metainformasjon og at avregistrering derfor vil hjelpe også mot deres problem.

Videre er det et poeng at nyere maskiner med såkalt Data Execution Protection i _hardware_ (ikke software DEP som det er i XP SP2) _kan_ stanse problemet (http://www.pcdoctor-guide.com/wordpress/?p=2042). Det er ikke alle maskiner som har dette i hardware, så om du ikke _vet_ at du har det, anta at du ikke har det og følg rådene i advisoriet. Det er også noen som opplyser at selv hardware DEP _ikke_ fungerer (http://blogs.zdnet.com/Ou/?p=143), men vedkommende har vistnok gjort feil i å tillate enkelte programmer (som jeg mistenker er programmer som bruker komponenten) og om man setter opp DEP riktig i OS’et vil hardware DEP fungere.

Ellers, igjen: Ikke stol på informasjon eller filer fra kilder du ikke kjenner. Følger du rådene om avregistrering er du sikret mot ‘de meste’ og i allefall nok til å unngå det de fleste vil oppleve som en trussel.

Found this article valuable? Want to show your appreciation? Here are some options:

a) Click on the banners anywhere on the site to visit my blog's sponsors. They are all hand-picked and are selected based on providing great products and services to the SharePoint community.

b) Donate Bitcoins! I love Bitcoins, and you can donate if you'd like by clicking the button below.

c) Spread the word! Below, you should find links to sharing this article on your favorite social media sites. I'm an attention junkie, so sharing is caring in my book!

Pin It

Published by

Bjørn Furuknap

I previously did SharePoint. These days, I try new things to see where I can find the passion. If you have great ideas, cool projects, or is in general an awesome person, get in touch and we might find out together.

Leave a Reply

Your email address will not be published.