reklama

Červ nadělil Microsoftu hektické Vánoce

Příchozí konec roku se zdál relativně klidný. Až do chvíle, kdy se na světě objevil exploit, demonstrující zneužití bezpečnostní zranitelnosti operačního systému Microsoft Windows. Jak se bránit a jaké může mít objevená zranitelnost důsledky?

O co vlastně jde

Nalezená bezpečnostní chyba je vždy velkým problémem nejen pro autory aplikace, ale především pro uživatele. Pro autory produktu znamená nutnost rychlé reakce v podobě vytipování, izolace a celkového odstranění zranitelnosti. Pro uživatele software pak problém znamená vesměs určitou dobu nejistoty, kdy je jejich počítač vystaven potenciálnímu riziku útoku ze strany útočníka.

Nejvíce jsou přirozeně ohroženy masivně využívané produkty – například operační systémy. Riziko se násobí ve chvíli, kdy nálezce mezery v produktu zveřejní podrobný popis a konkrétní ukázky možností zneužití chyby (tzv. exploit) ještě dříve, než se výrobci podaří připravit veřejně dostupnou opravu.

Nové okno do Windows

Stránkami zpravodajských serverů v posledních dnech proběhla zpráva o nově odhalené bezpečnostní chybě operačního systému. I my jsme o ni ve středu informovali v bleskové zprávě.

Charakteristika chyby je jednoduchá. Postihuje operační systémy Windows XP Home SP2, Windows XP Professional SP2 a Windows 2003 SP1 se všemi dostupnými záplatami.

Zranitelnost se nachází v kódu pro obsluhu obrázků WMF (Windows Metafile Image Format). Pomocí záměrně poškozeného WMF souboru lze spustit libovolný nebezpečný kód pouhým zobrazením WMF souboru. Útočníkovi tak stačí donutit uživatele zobrazit zákeřně upravený WMF soubor pomocí zranitelné aplikace Windows Picture and Fax Viewer (Prohlížeč obrázků a faxů) nebo pomocí připravené HTML stránky v Internet Exploreru.

Z obliga nejsou ani uživatelé alternativních webových prohlížečů. Zde se však při pokusu o otevření WMF grafiky objeví otázka, která od uživatele vyžaduje potvrzení otevření. Internet Explorer otevírá při standardním nastavení obrázek automaticky jako součást obsahu webové stránky.

Další rizikovou možností je otevření lokální složky s poškozeným obrázkem WMF v okně Průzkumníku. Při načtení složky totiž dochází k volání funkce, která vytváří z obsažených souborů náhledy.

Microsoft o celé problematice pojednává v rámci Microsoft Security Advisory 912840.

Zranitelnost je již zneužívána

Společnost F-Secure ve své souhrnné zprávě publikovala i seznam nebezpečných serverů, které ve svém obsahu mají i výše uvedený exploit zneužívající techniky zranitelnosti. Seznam samozřejmě není konečný, v průběhu času se bude postupně rozrůstat. Jedná se o následující servery:

  • toolbarbiz[tečka]biz
  • toolbarsite[tečka]biz
  • toolbartraff[tečka]biz
  • toolbarurl[tečka]biz
  • buytoolbar[tečka]biz
  • buytraff[tečka]biz
  • iframebiz[tečka]biz
  • iframecash[tečka]biz
  • iframesite[tečka]biz
  • iframetraff[tečka]biz
  • iframeurl[tečka]biz
  • unionseek[tečka]com

Exploit je antivirovými systémy detekován pod různými názvy – například PFV-Exploit (F-Prot) nebo Exploit-WMF (Symantec). Profesionálové z antivirových společností přitom věc neberou na lehkou váhu – například společnost Kaspersky Labs označuje celou kauzu extrémně kritickým stupněm.

Jak se můžeme bránit

Na popisovanou chybu zatím neexistuje oficiální záplata. Zranitelnost však nabírá vzhledem ke zveřejnění exploitu na významu jak u správců systému, tak i u původce chyby – společnosti Microsoft. Ta zřejmě již v tuto chvíli danou chybu analyzuje a řeší. S největší pravděpodobností bude oprava připravena v rámci dalších pravidelných záplat – tedy 10. ledna 2006.

Prvním krokem v rámci dočasné obrany by měla být aktualizace virových definic antivirového programu. Většina výrobců již zařadila do svých produktů definiční vzorek exploitu. Antivirový program by tak měl pomoci s detekcí případné infiltrace.

Dalším logickým krokem dočasného řešením je neprohlížet WMF soubory pocházející z nedůvěryhodných zdrojů a nastavení vysoké úrovně zabezpečení v Internet Exploreru (Nástroje > Možnosti Internetu > Zabezpečení > Internet > Vlastní úroveň > Obnovit > Vysoká).

Drsnější (ale velmi účinnou) metodou je blokace všech WMF souborů přímo na vstupní bráně připojení k Internetu.

Poslední možností, která se nabízí, je zrušení asociace WMF souborů na program Windows Picture and Fax Viewer. Pro provedení je nutné odregistrovat související knihovnu shimgvw.dll. Odregistrování lze provést takto:

Zvolte tlačítko Start, dále volbu Spustit a napište:

regsvr32 -u %windir%\system32\shimgvw.dll

Poté potvrďte tlačítkem OK. Následující dialogové okno potvrdí dokončení odregistrace inkriminované knihovny. Výsledkem našeho zásahu bude zrušení asociace mezi postiženou aplikací a WMF souborem. Celou akci lze v případě potřeby vrátit zpět pomocí následujícího příkazu:

regsvr32 %windir%\system32\shimgvw.dll

Závěrem

Bezpečnostní chyby v minulosti byly, dnes jsou a v budoucnu i budou. Na tomto faktu se v těžko co změní. Záleží však hodně na uživatelích a správcích systémů, jak rychle zareagují a nastaví takové restrikce, aby riziko útoku co nejvíce minimalizovali.

Druhým neméně důležitým prvkem je selský rozum běžných uživatelů, který bohužel často schází. Nejedná se o případ této zranitelnosti, z minulosti jsou však známy stovky případů, kdy uživatelé byli schopni například přijmout email, otevřít zazipovanou přílohu, najít v textu emailu potřebné heslo k archivu a poté ještě spustit infikovanou přílohu emailu.

Témata článku: Microsoft, Windows

91 komentářů

Nejnovější komentáře

  • jozef 3. 1. 2006 19:09:57
    Nejspis ten prikaz musis spustit jako spravce. Obycejny uzivatel patrne...
  • Switch13 1. 1. 2006 22:05:29
    Len ma tak napadlo....

    ... nie je nahodou aj " Windows Picture and...
  • Petr Tomeš - ptomes@gmail.com 31. 12. 2005 12:01:01
    "ma jinou licencni politiku.... (m.j. podstatne slozitejsi nez...
reklama
Určitě si přečtěte

UPC překopli páteřní kabel. V Brně i druhý den nejede internet ani kabelovka

UPC překopli páteřní kabel. V Brně i druhý den nejede internet ani kabelovka

** V Brně byl velký výpadek služeb UPC ** Důvodem je překopnutý páteřní kabel ** V některých lokalitách služby stále nefungují

5.  12.  2016 | Jakub Čížek | 100

17 expertek Microsoftu předpovědělo rok 2027. Splní se alespoň něco?

17 expertek Microsoftu předpovědělo rok 2027. Splní se alespoň něco?

** Zmizí klasické vyhledávače ** Budeme programovat buňky ** Kvantové počítače překonají šifry

6.  12.  2016 | Jakub Čížek | 36

11 tipů na dobrý stolní počítač: od základu po herní mašiny

11 tipů na dobrý stolní počítač: od základu po herní mašiny

** Postavte si stolní počítač! Máme pro vás 11 vzorových sestav s rozpisem komponent ** Většina tipů cílí na hráče, věnujeme se ale i základnímu PC a počítačům na střih videa ** Nadělte si nový počítač třeba pod stromeček

5.  12.  2016 | Adam Kahánek | 73


reklama