WMF-haavoittuvuus FAQ (7.1. klo 22:00)
03.01.2006 00:57 (Päivitetty: 07.01. 21:57)


WMF-haavoittuvuudesta on saatavilla paljon tietoa, useilla kielillä. Lähes ainoa suomenkielinen tiedonjakaja on Viestintävirasto ja heidänkin tietonsa on jossain määrin hajanaista. Tähän artikkeliin olen kasannut tietoa eri lähteistä ja sitä päivitetään kun lisää tietoa saadaan.

Versio 5 Update 7
Alkuperäinen julkaisu: 2006-01-01
Viimeksi päivitetty: 2006-01-07 22:00 EET, Janne K Edelman
Suomeksi toimittanut: 2006-01-03 00:57 EET, Janne K Edelman

Haavoittuvuuteen on olemassa Microsoftin julkaisema virallinen korjaus

Tapauksen esittelemiseksi on tehty valmiit englanninkieliset kalvot:

PDF	Powerpoint	OpenOffice 2.0
SANS.org	SANS.org	SANS.org
Saunalahti	Saunalahti	Saunalahti
dna Internet	dna Internet	dna Internet

Kalvot saatavilla myös suomeksi, epävirallisena käännöksenä:

PDF	Powerpoint	OpenOffice 2.0
Saunalahti	Saunalahti	Saunalahti
dna Internet	dna Internet	dna Internet

Miksi tämä asia on niin tärkeä?

WMF-haavoittuvuus käyttää kuvia (WMF kuvia) mielivaltaisen ohjelmakoodin suorittamiseen. Koodin suorittamiseen riittää pelkkä kuvien katsominen ja useimmissa tapauksissa ei tarvitse edes napsauttaa tai avata kuvaa. Jopa tietokoneelle tallennetut kuvat voivat aiheuttaa hyväksikäyttömenetelmän aktivoitumisen, jos kuvatiedosto indeksoidaan jollain hakuindeksejä rakentavalla ohjelmistolla (esim. MSN Desktop Search, Google Desktop). Myös kansion selaaminen Windowsin resurssienhallinnassa (Explorer) siten, että kuvat näytetään ikoneina tai filminauhana aiheuttaa hyväksikäyttömenetelmän aktivoitumisen.

Onko parempi käyttää Firefoxia kuin Internet Exploreria?

Internet Explorer näyttää ja aktivoi haavoittuvuuden ilman varoitusta. Uusimmat Firefoxin versiot kysyvät lupaa ennen WMF-tiedoston avaamista. Useimmissa ympäristöissä tämä tarjoaa kuitenkin vain vähäisen suojan, koska kuvatiedostoja pidetään yleensä 'turvallisina'.

Mitkä Windows-versiot ovat haavoittuvia?

Kaikki. Microsoftin ilmoituksen mukaan Windows XP ja 2003 ovat alttiita nykyisille hyväksikäyttömenetelmille, samassa laajuudessa. F-Securen selvitysten mukaan todellisuudessa kaikki Windows-versiot alkaen vuonna 1990 julkaistusta Windows 3.0:sta ovat haavoittuvia, joskin haavoittuvuuden hyväksikäyttö ei ole vanhemmissa versiossa niin yksinkertaista. MacOS X, Linux, Unix ja BSD eivät ole haavoittuvia.

Huomaa: Jos käytössäsi on edelleen Windows 98 tai ME: Järjestelmä on haavoittuva, kuten muutkin Windows-versiot ja yleisesti uskotaan, että Microsoft ei tule toimittamaan korjausta näille käyttöjärjestelmille. Jos käytössäsi on Windows 95 tai jokin vielä vanhempi Windows, niin korjausta ei tule. Tällöin ainoa vaihtoehto on käyttöjärjestelmän ja monessa tapauksessa myös koko tietokoneen päivittäminen.

Mitä voin tehdä suojautuakseni?

Poikkeuksellisessa tilanteessa suositeltiin epävirallista korjausta, mutta nyt kun virallinen korjaus on olemassa, suositellaan sen välitöntä asentamista.

1. Microsoft on julkistanut haavoittuvuuteen korjauksen. Lataa tämä päivitys Windows Update -palvelusta tai Microsoftin verkkopalvelusta osoitteesta http://www.microsoft.com/technet/security/Bulletin/MS06-001.mspx. Lisätietoja korjauksesta ja sen saatavuudesta.
2. Poista mahdollisesti aiemmin asentamasi epävirallinen päivitys. Poistaminen onnistuu Windowsin ohjauspaneelista (Control Panel) Lisää/Poista ohjelma (Add/Remove Programs) -toiminnolla.
3. Otetaan käytöstä poistettu DLL-kirjasto takaisin käyttöön komennolla: regsvr32 %windir%\system32\shimgvw.dll
4. Virustorjuntaohjelmistot antavat jonkin verran suojaa.

Haavoittuvuuden sisältävän kirjaston (DLL) poistaminen käytöstä:

• Kirjaudu sisään järjestelmänvalvojan (Administrator) oikeuksilla.
• Valitse Käynnistä (Start) -valikosta Suorita (Run) ja kirjoita "regsvr32 -u %windir%\system32\shimgvw.dll" (ilman lainausmerkkejä) ja napsauta OK-painiketta.
• Näytölle ilmeistyy ikkuna joka kertoo, että kirjaston käytöstäpoistaminen on onnistunut. Napsauta OK-painiketta sulkeaksesi ikkunan.

Tässä hetkellä paras ohje on suositus, että järjestelmään asennetaan Microsoftin julkaisema virallinen päivitys.

Kuinka epävirallinen korjaus toimii?

Epävirallisen korjauksen sisältämä wmfhotfix.dll tarttuu jokaiseen prosessiin joka lataa Windows-järjestelmän user32.dll -kirjaston. Sen jälkeen korjauskirjasto muokkaa (muistissa) gdi32.dll -kirjaston sisältämää Escape() -funktiota siten, että se ei jättää huomioimatta kaikki kutsut, joihin sisältyy SETABORTPROC (ie. 0x09) parametri. Tämän pitäisi mahdollistaa WMF-tiedostojen näyttämisen kaikilla Windows-ohjelmilla, mutta silti estää haavoittuvuuden hyväksikäytön. Korjaus on huolellisesti tarkastettu tietoturva-asiantuntijoiden toimesta lähdekooditasolla ja sitä on testattu kaikkia tunnetuja hyväksikäyttömenetelmiä vastaan. Korjauksen pitäisi toimia Windows XP:ssä (SP1 ja SP2) sekä Windows 2000:ssa.

Suojaako haavoittuneen kirjaston poistaminen käytöstä haavoittuvuudelta (ilman epävirallisen korjauksen asentamista)?

Se saattaa auttaa, mutta se ei ole varmaa. Avoimesti kerrottuna: on erittäin vahvoja epäilyksiä, että pelkkä shimgvw.dll kirjaston poistaminen käytöstä ei kaikissa tapauksissa riitä. Kirjasto saatetaan ottaa uudelleen käyttöön jonkin haittaohjelmakoodin toimesta tai muiden ohjelmien asennuksen yhteydessä. On myös mahdollista, että kirjaston ottaminen takaisin käyttöön ajossa olevassa järjestelmässä, jota vastaan on suoritettu hyökkäys, voi joissain tilanteissa johtaa haavoittuvuuden hyväksikäytön onnistumiseen. On myös mahdollista, että Escape() funktiota vastaan voi olla muita hyökkäystapoja gdi32.dll -kirjastossa. Siihen asti kunnes Microsoft toimittaa haavoittuvuuteen korjauksen, on suositeltavaa käyttää epävirallista korjausta kirjaston käytöstäpoistamisen lisäksi.

Pitäisi haavoittuvuuden sisältävä kirjasto poistaa järjestelmästä?

Se ei välttämättä ole huono idea, mutta Windowsin tiedostosuojaukset tai järjestelmän palautus (system recovery) luultavasti palauttaa tiedoston. Virallisen korjauksen asentaaksesi, luultavasti tarvitset tuon kirjaston, joten suositeltavampaa olisi kirjaston uudelleennimeäminen poistamisen sijaan.

Pitäisi kaikkien .WMF-tiedostojen pääsy koneelle estää?

Tämä voi auttaa, mutta ei yksin riitä. WMF-tiedostot tunnistetaan niiden tiedoston alun mukaan eivätkä ne tarvitse tiedostopäätettä. Tiedostot voivat siis olla millä tahansa päätteella tai Word -dokumentin tai muun tiedoston sisään liitettynä.

Mikä on DEP (Data Execution Protection ja miten se auttaa minua?

Windows XP:n SP2 -päivityksen yhteydessä Microsoft esitteli DEP-ominaisuuden. Se tarjoaa suojaa suurelle määrälle erilaisia hyökkäystapoja, estäen ohjelmakoodin suorittamisen muistin 'data-alueilta'. Toimiakeen kunnolla se tarvitsee kuitenkin tukea itse tietokoneelta. Jotkin prosessorit, kuten AMD:n 64-bittiset prosessorit, tarjoavat täyden DEP suojauksen ja estävät haavoittuvuuden hyväksikäytön.

Kuinka hyviä virustorjuntaohjelmistot ovat suojaamaan hyökkäyseltä?

Edelleen on tiedossa hyökkäyksiä, joita kaikki virustorjuntaohjelmat eivät tunnista. Toivottavasti niille saadaan tunnistus nopeasti. On kuitenkin erittäin vaikeaa saada kaikkia eri versiota hyväksikäyttömenetelmistä. Virustorjunta on tärkeää ja erityisesti ajantasaiset päivitykset. Se ei kuitenkaan yksin riitä.

Ainakaan kaikki F-Securen Anti-Virus -ohjelmiston versiot eivät tunnista WMF-tiedostoa, jonka tiedostopääte on jotain muuta kuin .wmf (esim. .jpg), vaan niille pitää määritellä asetuksiin että kaikki tiedostot tarkistetaan tai vaihtoehtoisesti on lisättävä tarkistettavien tiedostopäätteiden joukkoon kaikki Windowsin tukemien kuvatiedostojen päätteet.

Miten vahingollinen WMF-tiedosto voi päästä koneelleni?

On liian monta mahdollista tapaa, jotta niitä kaikkia voisi listata. Sähköpostin liitetiedostot, www-sivustot ja pikaviestiohjelmat ovat todennäköisimpiä lähteitä. Ei myöskään pidä unohtaa vertaisverkkoja (P2P) ja muita tiedostolähteitä.

Riittääkö, että kertoo käyttäjille, että eivät vieraile epäluotettavilla sivustoilla?

Ei. Se auttaa, mutta ei varmuudella riitä. Tiedossa on ainakin yksi laajalti luotettu www-sivusto, jonka kautta haavoittuvuutta onnistuttiin kuitenkin levittämään (knoppix-std.org). Levitys tehtiin lisäävä sivulle kehys, jolta käyttäjä ohjattiin haavoittuvuuden sisältävään WMF-tiedostoon. "Luotettuja" sivustoja on käytetty vastaavasti ennenkin.

Mikä on WMF-tiedostoissa oleva ongelma?

WMF-kuvat ovat hieman erilaisia kuin muut kuvatiedostot. Sen sijaan, että ne sisältäisivät tiedon siitä minkä värinen kukin pikseli kuuluu olla, WMF-tiedostot voivat kutsua ulkoisia komentoja. Yksi näistä ulkoisista komennoista voi suorittaa ohjelmakoodia.

Pitäisikö minun käyttää jotain sovellusta kuten DropMyRights.exe vähentääkseni haavoittuvuuden vaikutusta?

Kaikin mokomin. Älä myöskään käytä järjestelmänvalvojan oikeuksia päivittäisessä tietokoneenkäytössäsi. Joka tapauksessa tämä vain vähentää hyväksikäytön vaikutuksia, mutta ei estä sitä. Muista myös, että www-selaus on vain yksi tapa aktivoida hyväksikäyttö. Jos kuvatiedosto jää koneellesi ja sitä käsitellään myöhemmin järjestelmänvalvojan oikeuksilla, voi haittaohjelmakoodi aktivoitua.

Ovatko palvelimeni haavoittuvia?

Ehkä... sallitko kuvien lähettämisen palvelimelle? sähköposti? Indeksoidaanko kuvia? Käytätkö joskus www-selainta palvelimella? Lyhyesti: Jos joku saa haavoittuvuutta hyväksikäyttävän kuvan palvelimellesi ja haavoittuva kirjasto käsittelee sitä, palvelimesi on haavoittuva.

Mitä voin tehdä verkon reunalla / palomuurissa suojatakseni verkkoani?

Et paljon mitään. Välityspalvelin, joka poistaa kaikki kuvat www-sivuilta? Ei ehkä kelpaa käyttäjillesi. Blokkaa kuitenkin ainakin .WMF-tiedostot (katso yllä tiedostopäätteistä). Jos välityspalvelimessa on jonkinlainen virustarkistus, siitä voi olla apua. Sama pätee postipalvelimille. Mitä vähemmän sallit käyttäjille yhteyksiä ulos, sen parempi. Työasemien tarkempi monitorointi voi antaa vinkkejä mahdollisesta tartunnasta. Muista kuitenkin yksityisyys.

Voinko käyttää IDS:ää hyökkäyksen tunnistukseen?

Useimmat IDS:t toimivat sormenjärkien perusteella. Ota yhteyttä IDS-järjestelmäsi toimittajan tukeen. Bleedingsnort.org toimittaa jatkuvasti päivittyviä sormenjälkiä snortin käyttäjille.

Mitä voin tehdä, jos hyväksikäyttö aktivoituu?

Et juuri mitään :-(. Riippuu täysin hyväksikäytöstä, jonka uhriksi jouduit. Useimmat niistä lataavat lisää komponentteja verkosta. Voi olla erittäin vaikeaa tai jopa mahdotonta löytää kaikkia palasia.

Miten voin tarkistaa onko tietokoneeni haavoittuva?

Ilfak Guilfanov on tehnyt testityökalun, joka on ollut saatavilla hänen omilta sivuiltaan. Palveluntarjoajan suljettua sivut liikennemäärän vuoksi testityökalu on saatavilla useilta muilta palvelimilta. Testityökalun kanssa on syytä huomata, että se tarkistaa vain yhden tavan käyttää haavoittuvuutta hyväksi, eikä välttämättä havaitse haavoittuvuuden kaikkia eri variaatioita.

Toinen tapa testata haavoittuvuuden olemassaoloa turvallisesti on Kevin Gennuson tekemä testikuva (test.wmf). Tiedosto avaa calc.exe:n ja sulkee explorer.exe:n (edellyttää admin oikeuksia) haavoittuvissa käyttöjärjestelmissä. Muuten tiedoston ei tiedetä aiheutavan vahinkoja. Saman kuvan voi myös nimetä toiselle tiedostopäätteelle esim. test.jpg ja testata tunnistaako oma virustorjunta hyväksikäyttömenetelmän, jos kuvan tiedostopäätettä vaihdetaan.

Tarjoaako Microsoft tietoa?

Microsoft on julkistanut haavoittuvuuteen korjauksen. Lue listätietoja korjauksesta.

Mitä viestistävirasto sanoo?

http://www.cert.fi

Alkuperäinen WMF FAQ:

SANS ISC: WMF FAQ