reklama

Červ nadělil Microsoftu hektické Vánoce

Příchozí konec roku se zdál relativně klidný. Až do chvíle, kdy se na světě objevil exploit, demonstrující zneužití bezpečnostní zranitelnosti operačního systému Microsoft Windows. Jak se bránit a jaké může mít objevená zranitelnost důsledky?

O co vlastně jde

Nalezená bezpečnostní chyba je vždy velkým problémem nejen pro autory aplikace, ale především pro uživatele. Pro autory produktu znamená nutnost rychlé reakce v podobě vytipování, izolace a celkového odstranění zranitelnosti. Pro uživatele software pak problém znamená vesměs určitou dobu nejistoty, kdy je jejich počítač vystaven potenciálnímu riziku útoku ze strany útočníka.

Nejvíce jsou přirozeně ohroženy masivně využívané produkty – například operační systémy. Riziko se násobí ve chvíli, kdy nálezce mezery v produktu zveřejní podrobný popis a konkrétní ukázky možností zneužití chyby (tzv. exploit) ještě dříve, než se výrobci podaří připravit veřejně dostupnou opravu.

Nové okno do Windows

Stránkami zpravodajských serverů v posledních dnech proběhla zpráva o nově odhalené bezpečnostní chybě operačního systému. I my jsme o ni ve středu informovali v bleskové zprávě.

Charakteristika chyby je jednoduchá. Postihuje operační systémy Windows XP Home SP2, Windows XP Professional SP2 a Windows 2003 SP1 se všemi dostupnými záplatami.

Zranitelnost se nachází v kódu pro obsluhu obrázků WMF (Windows Metafile Image Format). Pomocí záměrně poškozeného WMF souboru lze spustit libovolný nebezpečný kód pouhým zobrazením WMF souboru. Útočníkovi tak stačí donutit uživatele zobrazit zákeřně upravený WMF soubor pomocí zranitelné aplikace Windows Picture and Fax Viewer (Prohlížeč obrázků a faxů) nebo pomocí připravené HTML stránky v Internet Exploreru.

Z obliga nejsou ani uživatelé alternativních webových prohlížečů. Zde se však při pokusu o otevření WMF grafiky objeví otázka, která od uživatele vyžaduje potvrzení otevření. Internet Explorer otevírá při standardním nastavení obrázek automaticky jako součást obsahu webové stránky.

Další rizikovou možností je otevření lokální složky s poškozeným obrázkem WMF v okně Průzkumníku. Při načtení složky totiž dochází k volání funkce, která vytváří z obsažených souborů náhledy.

Microsoft o celé problematice pojednává v rámci Microsoft Security Advisory 912840.

Zranitelnost je již zneužívána

Společnost F-Secure ve své souhrnné zprávě publikovala i seznam nebezpečných serverů, které ve svém obsahu mají i výše uvedený exploit zneužívající techniky zranitelnosti. Seznam samozřejmě není konečný, v průběhu času se bude postupně rozrůstat. Jedná se o následující servery:

  • toolbarbiz[tečka]biz
  • toolbarsite[tečka]biz
  • toolbartraff[tečka]biz
  • toolbarurl[tečka]biz
  • buytoolbar[tečka]biz
  • buytraff[tečka]biz
  • iframebiz[tečka]biz
  • iframecash[tečka]biz
  • iframesite[tečka]biz
  • iframetraff[tečka]biz
  • iframeurl[tečka]biz
  • unionseek[tečka]com

Exploit je antivirovými systémy detekován pod různými názvy – například PFV-Exploit (F-Prot) nebo Exploit-WMF (Symantec). Profesionálové z antivirových společností přitom věc neberou na lehkou váhu – například společnost Kaspersky Labs označuje celou kauzu extrémně kritickým stupněm.

Jak se můžeme bránit

Na popisovanou chybu zatím neexistuje oficiální záplata. Zranitelnost však nabírá vzhledem ke zveřejnění exploitu na významu jak u správců systému, tak i u původce chyby – společnosti Microsoft. Ta zřejmě již v tuto chvíli danou chybu analyzuje a řeší. S největší pravděpodobností bude oprava připravena v rámci dalších pravidelných záplat – tedy 10. ledna 2006.

Prvním krokem v rámci dočasné obrany by měla být aktualizace virových definic antivirového programu. Většina výrobců již zařadila do svých produktů definiční vzorek exploitu. Antivirový program by tak měl pomoci s detekcí případné infiltrace.

Dalším logickým krokem dočasného řešením je neprohlížet WMF soubory pocházející z nedůvěryhodných zdrojů a nastavení vysoké úrovně zabezpečení v Internet Exploreru (Nástroje > Možnosti Internetu > Zabezpečení > Internet > Vlastní úroveň > Obnovit > Vysoká).

Drsnější (ale velmi účinnou) metodou je blokace všech WMF souborů přímo na vstupní bráně připojení k Internetu.

Poslední možností, která se nabízí, je zrušení asociace WMF souborů na program Windows Picture and Fax Viewer. Pro provedení je nutné odregistrovat související knihovnu shimgvw.dll. Odregistrování lze provést takto:

Zvolte tlačítko Start, dále volbu Spustit a napište:

regsvr32 -u %windir%\system32\shimgvw.dll

Poté potvrďte tlačítkem OK. Následující dialogové okno potvrdí dokončení odregistrace inkriminované knihovny. Výsledkem našeho zásahu bude zrušení asociace mezi postiženou aplikací a WMF souborem. Celou akci lze v případě potřeby vrátit zpět pomocí následujícího příkazu:

regsvr32 %windir%\system32\shimgvw.dll

Závěrem

Bezpečnostní chyby v minulosti byly, dnes jsou a v budoucnu i budou. Na tomto faktu se v těžko co změní. Záleží však hodně na uživatelích a správcích systémů, jak rychle zareagují a nastaví takové restrikce, aby riziko útoku co nejvíce minimalizovali.

Druhým neméně důležitým prvkem je selský rozum běžných uživatelů, který bohužel často schází. Nejedná se o případ této zranitelnosti, z minulosti jsou však známy stovky případů, kdy uživatelé byli schopni například přijmout email, otevřít zazipovanou přílohu, najít v textu emailu potřebné heslo k archivu a poté ještě spustit infikovanou přílohu emailu.

Témata článku: Microsoft, Windows, Faxy

91 komentářů

Nejnovější komentáře

  • jozef 3. 1. 2006 19:09:57
    Nejspis ten prikaz musis spustit jako spravce. Obycejny uzivatel patrne...
  • Switch13 1. 1. 2006 22:05:29
    Len ma tak napadlo....

    ... nie je nahodou aj " Windows Picture and...
  • Petr Tomeš - ptomes@gmail.com 31. 12. 2005 12:01:01
    "ma jinou licencni politiku.... (m.j. podstatne slozitejsi nez...
reklama
Určitě si přečtěte

Vybíráte herní periferii nebo hardware? Pak zapomeňte na nálepku Gaming

Vybíráte herní periferii nebo hardware? Pak zapomeňte na nálepku Gaming

** Herní hardware se od toho běžného často liší jen vzhledem ** Při výběru stále nezapomínejte na základní parametry ** Poradíme jak vybrat herní hardware i periferie

20.  2.  2017 | Stanislav Janů | 36

10 nejhorších produktů v historii Microsoftu

10 nejhorších produktů v historii Microsoftu

20.  2.  2017 | Karel Javůrek | 141

AMD oficiálně představilo procesory Ryzen. Známe i jejich české ceny

AMD oficiálně představilo procesory Ryzen. Známe i jejich české ceny

** AMD uvedlo první tři procesory Ryzen 7 ** Všechny budou pracovat s osmi jádry a šestnácti vlákny ** Na pulty obchodů se dostanou už za týden

22.  2.  2017 | Stanislav Janů | 132

Pojďme programovat elektroniku: Žádný bastlíř se neobejde bez armády švábů

Pojďme programovat elektroniku: Žádný bastlíř se neobejde bez armády švábů

** Každý bastlíř se po čase neobjede bez armády švábů ** Dnes si některé z nich vyzkoušíme ** Třeba zázračný posuvný registr

19.  2.  2017 | Jakub Čížek | 40

EU se děsí Windows 10. Prý o nás vědí až příliš. Microsoft chystá změny

EU se děsí Windows 10. Prý o nás vědí až příliš. Microsoft chystá změny

** Evropští úředníci chtějí, aby byly Desítky transparentnější ** Microsoft od jara skutečně chystá změny ** Ochráncům soukromí to ale nestačí

21.  2.  2017 | Jakub Čížek | 218

Remix Singularity: Microsoft si na tom vylámal zuby. Jak dopadne Android?

Remix Singularity: Microsoft si na tom vylámal zuby. Jak dopadne Android?

** Microsoft do svých telefonů integroval desktopové prostředí ** Moc to ale nevyšlo, chyběl pořádný výkon ** Teď to zkoušejí ex-googleři s Remix Singularity

23.  2.  2017 | Jakub Čížek | 74


Aktuální číslo časopisu Computer

Supertéma o počítačové bezpečnosti

AMD Ryzen přichází

Velké testy kinoprojektorů a levných špuntových sluchátek

Příslušenství do USB-C

reklama
reklama