Červ nadělil Microsoftu hektické Vánoce

Příchozí konec roku se zdál relativně klidný. Až do chvíle, kdy se na světě objevil exploit, demonstrující zneužití bezpečnostní zranitelnosti operačního systému Microsoft Windows. Jak se bránit a jaké může mít objevená zranitelnost důsledky?

O co vlastně jde

Nalezená bezpečnostní chyba je vždy velkým problémem nejen pro autory aplikace, ale především pro uživatele. Pro autory produktu znamená nutnost rychlé reakce v podobě vytipování, izolace a celkového odstranění zranitelnosti. Pro uživatele software pak problém znamená vesměs určitou dobu nejistoty, kdy je jejich počítač vystaven potenciálnímu riziku útoku ze strany útočníka.

Nejvíce jsou přirozeně ohroženy masivně využívané produkty – například operační systémy. Riziko se násobí ve chvíli, kdy nálezce mezery v produktu zveřejní podrobný popis a konkrétní ukázky možností zneužití chyby (tzv. exploit) ještě dříve, než se výrobci podaří připravit veřejně dostupnou opravu.

Nové okno do Windows

Stránkami zpravodajských serverů v posledních dnech proběhla zpráva o nově odhalené bezpečnostní chybě operačního systému. I my jsme o ni ve středu informovali v bleskové zprávě.

Charakteristika chyby je jednoduchá. Postihuje operační systémy Windows XP Home SP2, Windows XP Professional SP2 a Windows 2003 SP1 se všemi dostupnými záplatami.

Zranitelnost se nachází v kódu pro obsluhu obrázků WMF (Windows Metafile Image Format). Pomocí záměrně poškozeného WMF souboru lze spustit libovolný nebezpečný kód pouhým zobrazením WMF souboru. Útočníkovi tak stačí donutit uživatele zobrazit zákeřně upravený WMF soubor pomocí zranitelné aplikace Windows Picture and Fax Viewer (Prohlížeč obrázků a faxů) nebo pomocí připravené HTML stránky v Internet Exploreru.

Z obliga nejsou ani uživatelé alternativních webových prohlížečů. Zde se však při pokusu o otevření WMF grafiky objeví otázka, která od uživatele vyžaduje potvrzení otevření. Internet Explorer otevírá při standardním nastavení obrázek automaticky jako součást obsahu webové stránky.

Další rizikovou možností je otevření lokální složky s poškozeným obrázkem WMF v okně Průzkumníku. Při načtení složky totiž dochází k volání funkce, která vytváří z obsažených souborů náhledy.

Microsoft o celé problematice pojednává v rámci Microsoft Security Advisory 912840.

Zranitelnost je již zneužívána

Společnost F-Secure ve své souhrnné zprávě publikovala i seznam nebezpečných serverů, které ve svém obsahu mají i výše uvedený exploit zneužívající techniky zranitelnosti. Seznam samozřejmě není konečný, v průběhu času se bude postupně rozrůstat. Jedná se o následující servery:

  • toolbarbiz[tečka]biz
  • toolbarsite[tečka]biz
  • toolbartraff[tečka]biz
  • toolbarurl[tečka]biz
  • buytoolbar[tečka]biz
  • buytraff[tečka]biz
  • iframebiz[tečka]biz
  • iframecash[tečka]biz
  • iframesite[tečka]biz
  • iframetraff[tečka]biz
  • iframeurl[tečka]biz
  • unionseek[tečka]com

Exploit je antivirovými systémy detekován pod různými názvy – například PFV-Exploit (F-Prot) nebo Exploit-WMF (Symantec). Profesionálové z antivirových společností přitom věc neberou na lehkou váhu – například společnost Kaspersky Labs označuje celou kauzu extrémně kritickým stupněm.

Jak se můžeme bránit

Na popisovanou chybu zatím neexistuje oficiální záplata. Zranitelnost však nabírá vzhledem ke zveřejnění exploitu na významu jak u správců systému, tak i u původce chyby – společnosti Microsoft. Ta zřejmě již v tuto chvíli danou chybu analyzuje a řeší. S největší pravděpodobností bude oprava připravena v rámci dalších pravidelných záplat – tedy 10. ledna 2006.

Prvním krokem v rámci dočasné obrany by měla být aktualizace virových definic antivirového programu. Většina výrobců již zařadila do svých produktů definiční vzorek exploitu. Antivirový program by tak měl pomoci s detekcí případné infiltrace.

Dalším logickým krokem dočasného řešením je neprohlížet WMF soubory pocházející z nedůvěryhodných zdrojů a nastavení vysoké úrovně zabezpečení v Internet Exploreru (Nástroje > Možnosti Internetu > Zabezpečení > Internet > Vlastní úroveň > Obnovit > Vysoká).

Drsnější (ale velmi účinnou) metodou je blokace všech WMF souborů přímo na vstupní bráně připojení k Internetu.

Poslední možností, která se nabízí, je zrušení asociace WMF souborů na program Windows Picture and Fax Viewer. Pro provedení je nutné odregistrovat související knihovnu shimgvw.dll. Odregistrování lze provést takto:

Zvolte tlačítko Start, dále volbu Spustit a napište:

regsvr32 -u %windir%\system32\shimgvw.dll

Poté potvrďte tlačítkem OK. Následující dialogové okno potvrdí dokončení odregistrace inkriminované knihovny. Výsledkem našeho zásahu bude zrušení asociace mezi postiženou aplikací a WMF souborem. Celou akci lze v případě potřeby vrátit zpět pomocí následujícího příkazu:

regsvr32 %windir%\system32\shimgvw.dll

Závěrem

Bezpečnostní chyby v minulosti byly, dnes jsou a v budoucnu i budou. Na tomto faktu se v těžko co změní. Záleží však hodně na uživatelích a správcích systémů, jak rychle zareagují a nastaví takové restrikce, aby riziko útoku co nejvíce minimalizovali.

Druhým neméně důležitým prvkem je selský rozum běžných uživatelů, který bohužel často schází. Nejedná se o případ této zranitelnosti, z minulosti jsou však známy stovky případů, kdy uživatelé byli schopni například přijmout email, otevřít zazipovanou přílohu, najít v textu emailu potřebné heslo k archivu a poté ještě spustit infikovanou přílohu emailu.

Témata článku: Microsoft, Windows, Faxy

91 komentářů

Nejnovější komentáře

  • jozef 3. 1. 2006 19:09:57
    Nejspis ten prikaz musis spustit jako spravce. Obycejny uzivatel patrne...
  • Switch13 1. 1. 2006 22:05:29
    Len ma tak napadlo....

    ... nie je nahodou aj " Windows Picture and...
  • Petr Tomeš - ptomes@gmail.com 31. 12. 2005 12:01:01
    "ma jinou licencni politiku.... (m.j. podstatne slozitejsi nez...
Určitě si přečtěte

Špičkoví hackeři útočili na prohlížeče. Chrome odolal, ale Edge je tragédie

Špičkoví hackeři útočili na prohlížeče. Chrome odolal, ale Edge je tragédie

** Do Vancouveru se sjeli hackeři ** Soutěžili v útocích na prohlížeče ** Chrome odolal, ale Edge to projel na celé čáře

22.  3.  2017 | Jakub Čížek | 79

Pojďme programovat elektroniku: Meteostanice, která bude díky Sigfoxu posílat stav počasí třeba z vrcholu Sněžky

Pojďme programovat elektroniku: Meteostanice, která bude díky Sigfoxu posílat stav počasí třeba z vrcholu Sněžky

** Příští roky budou ve znamení internetu věcí ** Podívali jsme se podrobně na síť Sigfox ** Takhle s ní komunikují krabičky z celé Evropy

19.  3.  2017 | Jakub Čížek | 18

Kde nejlevněji uložit 1 TB dat: Srovnali jsme aktuální ceny cloudových úložišť

Kde nejlevněji uložit 1 TB dat: Srovnali jsme aktuální ceny cloudových úložišť

** Srovnali jsme známá cloudová úložiště podle toho, kolik měsíčně zaplatíte za 1TB ** Ceny se pohybují od dvou stovek až po tisíc korun ** Google umožní uložit až 30 TB dat

18.  3.  2017 | Stanislav Janů | 115

Obří Mechroboti jsou realitou, měří čtyři metry a mají hmotnost přes 1,5 tuny

Obří Mechroboti jsou realitou, měří čtyři metry a mají hmotnost přes 1,5 tuny

** Jihokorejská společnost Hankook Mirae Technology vyrábí obří Mechroboty ** Jsou určené pro ovládání člověkem uvnitř ** V prodeji se objeví koncem tohoto roku za 200 milionů korun

20.  3.  2017 | Karel Javůrek | 18

Google představil nový Android O. Na co se můžeme těšit?

Google představil nový Android O. Na co se můžeme těšit?

** Google vypustil vývojářskou verzi nového Androidu ** Přinese lepší notifikace nebo prodlouženou výdrž ** K uživatelům se dostane na podzim

22.  3.  2017 | Stanislav Janů | 60


Aktuální číslo časopisu Computer

Supertéma o počítačové bezpečnosti

AMD Ryzen přichází

Velké testy kinoprojektorů a levných sluchátek

Příslušenství do USB-C