SicurezzaInformatica

Microsoft ha rilasciato la patch per la vulnerabilità WMF prima del previsto. È già disponibile il bollettino, dal quale si può scaricare l'update per Windows 2000 (SP4), XP e 2003.

La patch è disponibile anche mediante la funzione degli aggiornamenti automatici. A quanto pare l'update di Microsoft sembra coesistere senza problemi con le precedenti patch non ufficiali.

Future Time, l'azienda che distribuisce in Italia l'antivirus Nod32, ha rilasciato una patch per la vulnerabilità WMF. Mi raccomando, se non lo avete ancora fatto installate la patch, poiché Microsoft non rilascerà alcuna patch ufficiale prima del 10 Gennaio e personalmente sto iniziando a vedere molti siti colpiti, anche italiani. Per scaricarla fate clic qui.

Dal sito di Future Time:

Il 28/12/2005, Microsoft ha pubblicato l'advisory di sicurezza MS912840 per una vulnerabilità critica riguardante la gestione dei file grafici WMF (Windows Meta File). La vunerabilità, presente nella funzione Escape della libreria dinamica GDI32.DLL, interessa tutti i sistemi operativi Windows. Al momento, non esiste alcuna patch ufficiale, mentre numerosi malware sono già stati creati allo scopo di infettare gli utenti attraverso la visualizzazione o l'anteprima di file WMF infetti. Future Time ha rilasciato una patch temporanea che filtra la funzione Escape in modo tale da rendere le applicazioni invulnerabili ai file WMF infetti. Sotto Windows NT e versioni superiori è opportuno installare e usare la patch solo con account con diritti di amministratore.

Alla vigilia di Natale ho scritto una cosa tutto sommato scontata: il periodo delle feste è il più propizio per lanciare attacchi informatici.

E dopo pochi giorni ecco spuntare il zero-day exploit delle immagini WMF. Basta accedere a una pagina web, leggere un'email, aprire un documento (e altro ancora) contenenti un'immagine appositamente predisposta e il vostro sistema sarà infetto.

Se volete saperne di più basta andare a leggere la mia traduzione dell'apposita FAQ dell'Internet Storm Center.

Ma fatelo dopo. Ora, se state utilizzando Windows, eseguite queste operazioni:

- Fate click su "Start", fate click su "Esegui...", digitate "regsvr32 -u %windir%\system32\shimgvw.dll" (senza virgolette) quindi fate click su Ok
- Apparirà un box che confermerà la de-registrazione. Fate click su Ok per chiudere il box
- Aggiornate il vostro anti-virus
- Scaricate questa patch e installatela, quindi fate ripartire il sistema

Fatto questo il vostro sistema potrebbe non essere più in grado di leggere le immagini WMF, ma almeno sarà ragionevolmente schermato dalla vulnerabilità. Tutto questo in attesa di una patch ufficiale da parte di Microsoft.

Traduzione italiana della WMF FAQ dell'Internet Storm Center, a cura di Luca Sambucci
Aggiornata alla versione nr. 4

* Perché questa vulnerabilità è così importante?

La vulnerabilità WMF usa immagini (immagini WMF, per l'appunto) per eseguire codice arbitrario. Il codice verrà lanciato semplicemente visualizzando un'immagine. Nella maggior parte dei casi non si dovrà cliccare nulla. Anche le immagini salvate nel vostro sistema potrebbero causare l'esecuzione dell'exploit se indicizzate da software appositi. Un altro modo per sfruttare la vulnerabilità consiste nel visualizzare il contenuto di una directory con l'impostazione "Visualizza Icone" dell'Esplora risorse di Windows.

* È meglio usare Firefox o Internet Explorer?

Internet Explorer visualizzerà le immagini ed eseguirà l'exploit senza alcun avvertimento. Le nuove versioni di Firefox invece vi avviseranno prima di aprire l'immagine. Tuttavia neanche questa può essere considerata una buona protezione, poiché essendo immagini molti utenti le considereranno comunque "sicure".

* Quali versioni di Windows sono colpite?

Tutte. Windows 2000, Windows XP (Service Pack 1 e 2), Windows 2003. Tutte queste versioni sono vulnerabili sotto diversi aspetti. Altri sistemi quali Mac OS-X, Unix e BSD non sono vulnerabili.

Nota: Se state ancora usando Windows 98 o Windows ME questo sarà probabilmente il momento di prendere la necessaria decisione: poiché crediamo (senza averlo però testato) che il vostro sistema sia vulnerabile, e considerato che probabilmente Microsoft non rilascerà alcuna patch per Windows 98/ME, è veramente giunto il momento di passare a una versione più recente del sistema.

* Cosa posso fare per proteggermi?

1. Microsoft non ha ancora rilasciato una patch. Una patch ufficiosa è stata resa disponibile da Ilfak Guilfanov. Il nostro Tom Liston ha esaminato la patch, quindi l'abbiamo testata. La versione da noi esaminata e testata è disponibile qui (attualmente alla versione 1.4, MD5: 15f0a36ea33f39c1bcf5a98e51d4f4f6), la relativa firma PGP (firmata con la chiave di ISC) è disponibile qui. GRAZIE a Ilfak Guilfanov per aver rilasciato la patch!!
2. Potete de-registrare il relativo DLL.
3. Gli anti-virus possono fornire un certo livello di protezione.

Per de-registrare il DLL:

- Fare click su "Start", fare click su "Esegui...", digitare "regsvr32 -u %windir%\system32\shimgvw.dll" (senza virgolette) quindi fare click su Ok.
- Apparirà un box che confermerà la de-registrazione. Fare click su Ok per chiudere il box.

Il nostro miglior suggerimento attualmente è quello di de-registrare il DLL e applicare la patch ufficiosa.

* Come funziona la patch ufficiosa?

Il file wmfhotfix.dll viene inserito (injected) in qualsiasi processo che carica il file user32.dll. Il DLL quindi ripara (in memoria) la funzione Escape() di gdi32.dll per farle ignorare qualsiasi chiamata che usi il parametro SETABORTPROC (ovvero 0x09). Questo dovrebbe permettere ai programmi Windows di visualizzare i file WMF senza problemi, bloccando contestualmente l'exploit. La versione della patch disponibile qui è stata accuratamente esaminata a fronte del codice sorgente ed è stata testata con tutte le versioni conosciute dell'exploit. Dovrebbe funzionare su Windows XP (SP 1 e 2) e Windows 2000.

* De-registrare il DLL (senza applicare la patch ufficiosa) sarà sufficiente a proteggermi?

Potrebbe aiutare, ma non è assicurato. Vogliamo essere veramente chiari su questo punto: abbiamo motivo di credere che semplicemente de-registrare il file shimgvw.dll non sia sempre sufficiente. Il file .dll potrebbe venire ri-registrato da un processo malevolo o da altre installazioni, e potrebbero esserci casi dove la ri-registrazione del .dll in un sistema attivo porti al ripristino della vulnerabilità. Oltretutto potebbero esserci altre modalità di attacco verso la funzione Escape() di gdi32.dll. Finché non vi sarà una patch da parte di Microsoft, raccomandiamo di usare la patch ufficiosa assieme alla de-registrazione di shimgvw.dll.

* Perché non posso semplicemente cancellare il DLL?

In sè non sarebbe un'idea malvagia, ma il Windows File Protection probabilmente lo rimpiazzerebbe. Prima dovreste disabilitare il Windows File Protection. Inoltre, non appena sarà disponibile una patch ufficiale dovrete rimpiazzare il DLL (a questo punto sarebbe meglio rinominarlo anziché cancellarlo, in modo da averlo immediatamente disponibile se necessario).

* Devo bloccare tutte le immagini .WMF?

Potrebbe essere utile, ma non sufficiente. I file WMF vengono riconosciuti da uno speciale header, e l'estensione non è necessaria. Questi file potrebbero quindi arrivare con qualsiasi estensione, oppure già inclusi in file di Word o altri documenti.

* Cos'è il DEP (Data Execution Protection) e come mi può aiutare?

Assieme a Windows XP con Service Pack 2 Microsoft ha introdotto il DEP. Esso protegge da un gran numero di exploit, impedendo l'esecuzione dei 'segmenti di dati'. Tuttavia, per funzionare bene, esso ha bisogno di adeguato supporto hardware. Alcune CPU, come quelle a 64 bit di AMD, forniscono un pieno supporto DEP e bloccheranno l'exploit.

* Quanto sono efficaci le protezioni anti-virus per prevenire l'exploit?

Attualmente siamo a conoscenza di versioni dell'exploit che non vengono riconosciute dai motori anti-virus. Speriamo che questi ultimi si adattino presto. Sarà comunque una dura battaglia fermare tutte le versioni dell'exploit. Gli anti-virus aggiornati sono necessari ma probabilmente non saranno sufficienti.

* Come può entrare nel mio sistema un file WMF malevolo?

Esistono fin troppi modi per menzionarli tutti. Allegati e-mail, siti web e servizi di messaggistica istantanea sono probabilmente le cause più probabili. E non dimentichiamoci dei sistemi di sharing P2P e degli altri canali.

* Basterà informare i miei utenti di non visitare siti web che non siano fidati?

No. Probabilmente aiuterà, ma non sarà sufficiente. Sappiamo di almeno un sito web generalmente considerato fidato (knoppix-std.org) che è stato compromesso. Durante l'attacco al sito è stato aggiunto un frame che reindirizzava gli utenti verso un file WMF contente l'exploit. Siti "fidati" sono già stati usati in questo modo in passato.

* Qual'è in sostanza il problema con le immagini WMF?

Le immagini WMF sono leggermente diverse dagli altri tipi di immagini. Anziché contenere la semplice informazione 'questo pixel ha questo colore' le immagini WMF possono chiamare procedure esterne. Una di queste procedure può essere usata per eseguire del codice.

* Devo usare metodi del tipo "dropmyrights" per minimizzare l'impatto dell'exploit?

Assolutamente sì. Inoltre, non loggatevi come amministratori durante il semplice utilizzo quotidiano del sistema. Questo comunque riuscirà solo a minimizzare l'impatto dell'exploit, non a prevenirlo. Inoltre: la navigazione web è solo uno dei metodi per eseguire l'exploit. Se l'immagine viene salvata nel vostro sistema, e quindi visualizzata quando siete loggati come amministratore, potreste essere colpiti.

* I miei server sono vulnerabili?

Forse... consentite l'upload delle immagini? Delle email? Queste immagini vengono indicizzate? Utilizzate ogni tanto un browser web sul server? Per farla breve: se qualcuno può inserire un'immagine sul vostro server, e se il DLL vulnerabile andrà ad accedervi, il vostro server potrebbe essere colpito.

* Che posso fare al mio perimetro / firewall per proteggere il mio network?

Non molto. Un server proxy che elimina tutte le immagini dai siti? Probabilmente non verrà accettato di buon grado dai vostri utenti. Per lo meno bloccate le immagini .WMF (ma fate riferimento a una delle precedenti risposte per il problema delle estensioni). Se il vostro proxy ha una qualche protezione da virus, qusta potrebbe bloccarle. La stessa cosa riguarda i server di posta. Meno permettete ai vostri utenti di stabilire connessioni verso l'esterno, meglio è. Il monitoraggio ravvicinato delle workstation degli utenti potrebbe permettervi di capire se il sistema è stato infettato.

* Posso usare un IDS (Intrusion Detection System) per riconoscere l'exploit?

Molti produttori di IDS stanno lavorando sulle stringhe di individuazione. Contattate il vostro fornitore per ottenere maggiori dettagli. Il sito Bleedingsnort.org fornisce stringhe sempre aggiornate per gli utilizzatori di snort.

* Se vengo colpito dall'exploit, cosa devo fare?

Non molto. :-( Dipende soprattutto da che tipo di exploit vi ha colpito. Molti di essi scaricano componenti addizionali. Potrebbe essere difficile, se non impossibile, eliminarli tutti. Ai suoi clienti Microsoft offre supporto gratuito al numero 02.70.398.398 (orario di ufficio, vedere qui per maggiori dettagli).

* Sono disponibili informazioni da parte di Microsoft?

http://www.microsoft.com/technet/security/advisory/912840.mspx
Microsoft ha annunciato che una patch sarà disponibile il prossimo 10 Gennaio (il consueto "martedì nero" dedicato al rilascio delle patch di Microsoft).

* Cosa dicono i CERT (Computer Emergency Response Team)?

http://www.kb.cert.org/vuls/id/181038
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-4560