Červ nadělil Microsoftu hektické Vánoce

Příchozí konec roku se zdál relativně klidný. Až do chvíle, kdy se na světě objevil exploit, demonstrující zneužití bezpečnostní zranitelnosti operačního systému Microsoft Windows. Jak se bránit a jaké může mít objevená zranitelnost důsledky?

O co vlastně jde

Nalezená bezpečnostní chyba je vždy velkým problémem nejen pro autory aplikace, ale především pro uživatele. Pro autory produktu znamená nutnost rychlé reakce v podobě vytipování, izolace a celkového odstranění zranitelnosti. Pro uživatele software pak problém znamená vesměs určitou dobu nejistoty, kdy je jejich počítač vystaven potenciálnímu riziku útoku ze strany útočníka.

Nejvíce jsou přirozeně ohroženy masivně využívané produkty – například operační systémy. Riziko se násobí ve chvíli, kdy nálezce mezery v produktu zveřejní podrobný popis a konkrétní ukázky možností zneužití chyby (tzv. exploit) ještě dříve, než se výrobci podaří připravit veřejně dostupnou opravu.

Nové okno do Windows

Stránkami zpravodajských serverů v posledních dnech proběhla zpráva o nově odhalené bezpečnostní chybě operačního systému. I my jsme o ni ve středu informovali v bleskové zprávě.

Charakteristika chyby je jednoduchá. Postihuje operační systémy Windows XP Home SP2, Windows XP Professional SP2 a Windows 2003 SP1 se všemi dostupnými záplatami.

Zranitelnost se nachází v kódu pro obsluhu obrázků WMF (Windows Metafile Image Format). Pomocí záměrně poškozeného WMF souboru lze spustit libovolný nebezpečný kód pouhým zobrazením WMF souboru. Útočníkovi tak stačí donutit uživatele zobrazit zákeřně upravený WMF soubor pomocí zranitelné aplikace Windows Picture and Fax Viewer (Prohlížeč obrázků a faxů) nebo pomocí připravené HTML stránky v Internet Exploreru.

Z obliga nejsou ani uživatelé alternativních webových prohlížečů. Zde se však při pokusu o otevření WMF grafiky objeví otázka, která od uživatele vyžaduje potvrzení otevření. Internet Explorer otevírá při standardním nastavení obrázek automaticky jako součást obsahu webové stránky.

Další rizikovou možností je otevření lokální složky s poškozeným obrázkem WMF v okně Průzkumníku. Při načtení složky totiž dochází k volání funkce, která vytváří z obsažených souborů náhledy.

Microsoft o celé problematice pojednává v rámci Microsoft Security Advisory 912840.

Zranitelnost je již zneužívána

Společnost F-Secure ve své souhrnné zprávě publikovala i seznam nebezpečných serverů, které ve svém obsahu mají i výše uvedený exploit zneužívající techniky zranitelnosti. Seznam samozřejmě není konečný, v průběhu času se bude postupně rozrůstat. Jedná se o následující servery:

  • toolbarbiz[tečka]biz
  • toolbarsite[tečka]biz
  • toolbartraff[tečka]biz
  • toolbarurl[tečka]biz
  • buytoolbar[tečka]biz
  • buytraff[tečka]biz
  • iframebiz[tečka]biz
  • iframecash[tečka]biz
  • iframesite[tečka]biz
  • iframetraff[tečka]biz
  • iframeurl[tečka]biz
  • unionseek[tečka]com

Exploit je antivirovými systémy detekován pod různými názvy – například PFV-Exploit (F-Prot) nebo Exploit-WMF (Symantec). Profesionálové z antivirových společností přitom věc neberou na lehkou váhu – například společnost Kaspersky Labs označuje celou kauzu extrémně kritickým stupněm.

Jak se můžeme bránit

Na popisovanou chybu zatím neexistuje oficiální záplata. Zranitelnost však nabírá vzhledem ke zveřejnění exploitu na významu jak u správců systému, tak i u původce chyby – společnosti Microsoft. Ta zřejmě již v tuto chvíli danou chybu analyzuje a řeší. S největší pravděpodobností bude oprava připravena v rámci dalších pravidelných záplat – tedy 10. ledna 2006.

Prvním krokem v rámci dočasné obrany by měla být aktualizace virových definic antivirového programu. Většina výrobců již zařadila do svých produktů definiční vzorek exploitu. Antivirový program by tak měl pomoci s detekcí případné infiltrace.

Dalším logickým krokem dočasného řešením je neprohlížet WMF soubory pocházející z nedůvěryhodných zdrojů a nastavení vysoké úrovně zabezpečení v Internet Exploreru (Nástroje > Možnosti Internetu > Zabezpečení > Internet > Vlastní úroveň > Obnovit > Vysoká).

Drsnější (ale velmi účinnou) metodou je blokace všech WMF souborů přímo na vstupní bráně připojení k Internetu.

Poslední možností, která se nabízí, je zrušení asociace WMF souborů na program Windows Picture and Fax Viewer. Pro provedení je nutné odregistrovat související knihovnu shimgvw.dll. Odregistrování lze provést takto:

Zvolte tlačítko Start, dále volbu Spustit a napište:

regsvr32 -u %windir%\system32\shimgvw.dll

Poté potvrďte tlačítkem OK. Následující dialogové okno potvrdí dokončení odregistrace inkriminované knihovny. Výsledkem našeho zásahu bude zrušení asociace mezi postiženou aplikací a WMF souborem. Celou akci lze v případě potřeby vrátit zpět pomocí následujícího příkazu:

regsvr32 %windir%\system32\shimgvw.dll

Závěrem

Bezpečnostní chyby v minulosti byly, dnes jsou a v budoucnu i budou. Na tomto faktu se v těžko co změní. Záleží však hodně na uživatelích a správcích systémů, jak rychle zareagují a nastaví takové restrikce, aby riziko útoku co nejvíce minimalizovali.

Druhým neméně důležitým prvkem je selský rozum běžných uživatelů, který bohužel často schází. Nejedná se o případ této zranitelnosti, z minulosti jsou však známy stovky případů, kdy uživatelé byli schopni například přijmout email, otevřít zazipovanou přílohu, najít v textu emailu potřebné heslo k archivu a poté ještě spustit infikovanou přílohu emailu.

Témata článku: Microsoft, Windows, Faxy

91 komentářů

Nejnovější komentáře

  • jozef 3. 1. 2006 19:09:57
    Nejspis ten prikaz musis spustit jako spravce. Obycejny uzivatel patrne...
  • Switch13 1. 1. 2006 22:05:29
    Len ma tak napadlo....

    ... nie je nahodou aj " Windows Picture and...
  • Petr Tomeš - ptomes@gmail.com 31. 12. 2005 12:01:01
    "ma jinou licencni politiku.... (m.j. podstatne slozitejsi nez...
Určitě si přečtěte

Operační systém běžným počítačům nedal Bill Gates, ale Gary Kildall

Operační systém běžným počítačům nedal Bill Gates, ale Gary Kildall

** Gary Kildall pochopil, že levné výpočetní čipy mohou posloužit jako univerzální počítače pro všechny ** Připravil pro ně proto první operační systém ** Později mu systém vyfoukl Microsoft a nazval ho MS DOS

23.  4.  2017 | Pavel Tronner | 52

Umělá inteligence je sice v plenkách, už teď ale přestáváme rozumět, jak vlastně funguje. To je problém

Umělá inteligence je sice v plenkách, už teď ale přestáváme rozumět, jak vlastně funguje. To je problém

** Už je to tady, lidé přestávají chápat počítače ** Systémy neuronových sítí začínají pracovat tak, že ani jejich tvůrci přesně neví, co se uvnitř děje ** Do budoucna to může být závažný problém

24.  4.  2017 | Jakub Čížek | 111

Před 35 lety měl premiéru legendární počítač ZX Spectrum. Připomeňte si „Gumáka“

Před 35 lety měl premiéru legendární počítač ZX Spectrum. Připomeňte si „Gumáka“

** Slavný osmibitový počítač Sinclair ZX Spectrum byl uveden právě před 35 lety ** Připomeňte si tento průkopnický počítač v tematických článcích ** Podívejte se, jak funguje dnes

23.  4.  2017 | Pavel Tronner | 13

Správný počítač má alespoň dva monitory. Anebo je to jinak?

Správný počítač má alespoň dva monitory. Anebo je to jinak?

** David si nedokáže představit práci bez dvou a více monitorů ** Kubovi naopak stačí jeden a ve více displejích se ztrácí ** Jaký přístup je lepší?

23.  4.  2017 | Jakub Čížek | 59

Český Google Překladač začal používat umělou inteligenci. Konec „drahoušků zákazníků“

Český Google Překladač začal používat umělou inteligenci. Konec „drahoušků zákazníků“

** Google ve svém překladači roky používal statistickou technologii ** Nyní zavádí strojové učení a neuronové sítě ** Rozdíl by měl být zvláště na větších textech patrný už nyní

20.  4.  2017 | Jakub Čížek | 31

Brno otevřelo největší českou dílnu pro bastlíře. Kladívka, vrtačky, 3D tiskárny, laserové řezačky. Je tu vše

Brno otevřelo největší českou dílnu pro bastlíře. Kladívka, vrtačky, 3D tiskárny, laserové řezačky. Je tu vše

** Máte nápad, ale chybí vám stroje a pořádná dílna? ** Chcete postavit ptačí budku, nebo krabičku pro Arduino? ** Brno otevřelo svůj FabLab – laboratoř pro bastlíře

19.  4.  2017 | Jakub Čížek | 31


Aktuální číslo časopisu Computer

První test AMD Ryzen

Velké testy: 22 powerbank a 8 bezdrátových setů

Radíme s koupí Wi-Fi routeru

Co dokáží inteligentní domy?