PC World Komputer Online: Co teraz powinien zrobić użytkownik Windows XP? Nie pomaga przecież nawet stosowanie Firefoksa, bo problem dotyczy systemu operacyjnego.

Michał Jarski, ISS: Luka w obsłudze plików WMF wymaga do wykorzystania interakcji ze strony użytkownika - musi on otworzyć przesłany plik WMF (co jest stosunkowo proste, bo domyślnie uruchamia się Fax and Picture Viewer). Co sprytniejsi włamywacze oprócz ordynarnego załączenia zmajstrowanego pliku do e-maila mogą pomyśleć o wysłaniu atrakcyjnego (czyli najpewniej w tym przypadku pornograficznego) spamu z linkami do obrazów do kliknięcia, stworzeniu stron WWW z linkami namawiającymi do skorzystania z niepowtarzalnej okazji obejrzenia jakiegoś niesamowitego obrazu.

Możliwe jest też wykorzystanie bardziej zaawansowanych metod z użyciem JavaScript (wraca do łask) lub innych narzędzi, które pozwolą na ukryte, nie wymagające potwierdzenia ze strony użytkownika pobranie pliku z zaszytym kodem atakującym.

Luka jest bardzo groźna, gdyż:

* pozwala na przejęcie pełnej kontroli nad komputerem i swobodne włamanie do sieci, do której jest wpięty;

* jest już dostępny sprawdzony i działający proof-of-concept (chociażby w ramach projektu Metasploit) - X-Force potwierdził skuteczność tego próbnego exploitu;

* w najbliższych dniach należy spodziewać się pojawienia kolejnych exploitów (np.http://archives.neohapsis.com/archives/bugtraq/2005-12/0305.html) i fali robaków (jak w przypadku Zotoba);

* luka działa również w XP z SP2 oraz WinServer 2003, a MS nie opublikował dotąd żadnej poprawki!

Co ma zrobić użytkownik Windows:

* zachować daleko posunięta ostrożność w otwieraniu załączników,

* zwrócić uwagę na pliki WMF,

* zaawansowani użytkownicy mogą spróbować "odlinkować" Fax and Picture Viewer od plików WMF w explorerze (co spowoduje, że nie będzie on automatycznie uruchamiany do wyświetlania WMFów, więc exploit nie zadziała).

Skuteczność systemów obronnych:

* jak zwykle bazujące na sygnaturach ruszą w obłędny wyścig z kolejnymi wersjami, mutacjami i odmianami exploitów WMF-owych (w tej chwili F-Secure wykrywa pierwszy exploit, a Symantec nie, ale to się za chwilę zmieni);

* tylko rowzwiązania broniące przed wrogim zachowaniem, rozpoznające każdą próbę wykorzystania luki w obsłudze plików WMF - a nie koncentrujące się na konkretnym kodzie atakującym - są w stanie tu pomóc.

Czy słuszne są obawy, że w przyszłości będzie więcej takich ataków na pozornie nieszkodliwe aplikacje?

Zdecydowanie tak!

Co na to firmy tworzące oprogramowanie zabezpieczające?

ISS opublikowało Virtual Patch na lukę WMF 28.12.2005. Wszystkie ataki na handlery plików WMF będą identyfikowane jako "Image_WMF_RecordSize_Overflow" i blokowane. Podnieśliśmy jednocześnie AlertCon do poziomu 2 ze względu na brak poprawek Microsoftu dla tej luki.

Jest też ostrzeżenie ze strony X-Force:http://xforce.iss.net/xforce/alerts/id/211

Jak napisałem wyżej - F-Secure rozpoznaje pierwsze exploity, ale nie wiadomo, czy nie pogubi się przy następnych mutacjach. Symantec nic nie umie w tej chwili zrobić. Juniper, McAfee - także cisza. Microsoft opublikował tylko raport.