Windows Metafil sårbarhet

Windows Metafile-sårbarhet – även kallad Metafile Image Code Execution och förkortat MICE – är en säkerhetsrisk i hur vissa versioner av Microsoft Windows operativsystem hanterade bilder i Windows Metafile- format. Den tillåter att godtycklig kod körs på berörda datorer utan tillstånd från deras användare. Den upptäcktes den 27 december 2006 och de första rapporterna om drabbade datorer tillkännagavs inom 24 timmar. Microsoft släppte en högprioriterad uppdatering för att eliminera denna sårbarhet via Windows Update den 5 januari 2007. Attacker som använder denna sårbarhet kallas WMF-exploater .

Sårbarheten fanns i gdi32.dll och fanns i alla versioner av Microsoft Windows från Windows 3.0 till Windows Server 2003 R2 . Attackvektorer finns dock bara i NT-baserade versioner av Windows (Windows NT, Windows 2000 , Windows XP och Windows Server 2003 ). Utnyttjande av sårbarheten i Windows NT -baserade system underlättade spridningen av olika typer av skadlig programvara , vanligtvis genom drive-by-nedladdningar .

På grund av extrem påverkan vann denna bugg 2007 Pwnie Award för "Mass 0wnage" och "Breaking the Internet".

Berörda system

Alla versioner av Microsoft Windows operativsystem stöder Windows Metafile-grafikstandard. Alla versioner från Windows 3.0 till Windows Server 2003 R2 innehåller denna säkerhetsbrist. Windows NT 4.0 och Windows XP , såvida de inte är korrigerade , är dock mer sårbara än tidigare versioner eftersom deras standardinstallation möjliggör körning av Windows Metafile-kod, källan till sårbarheten. Senare versioner av Windows har inte denna sårbarhet.

Enligt datasäkerhetsexperten Steve Gibson är Windows NT 4 sårbart för kända utnyttjande om bildförhandsgranskning är aktiverad . Windows-operativsystem som inte har aktiverat förhandsgranskning av bilder eller som har hårdvarubaserad Data Execution Prevention (DEP) aktiv för alla applikationer bör inte vara mottagliga för detta utnyttjande.

Andra operativsystem än Windows (t.ex. macOS , Unix , Linux , etc.) påverkas inte direkt. Ett icke-Windows-system kan dock bli sårbart om det kör programvara för att visa Windows WMF-filer. Detta kan inkludera programvara som innehåller eller klonar Windows inbyggda Graphics Device Interface (GDI) Dynamic-link library (DLL) eller som kör Windows- eller Windows-program genom en emulator eller ett kompatibilitetslager . Ett Unix-liknande system som använder Wine för att emulera Windows, till exempel, skulle kunna utnyttjas. Gibson skrev programmet MouseTrap, som hans företag distribuerar som gratisprogram , för att upptäcka Windows Metafile-sårbarhet i system som kör Windows och Windows-emulatorer.

Sårbarheten

Enligt bedömningar av F-Secure är sårbarheten en inneboende defekt i utformningen av WMF-filer, eftersom den underliggande arkitekturen för sådana filer är från en tidigare era och inkluderar funktioner som gör att faktisk kod kan exekveras när en WMF-fil öppnas. Det ursprungliga syftet med detta var främst att hantera annulleringen av utskriftsjobb under spoolning .

Enligt Secunia , "Sårbarheten orsakas på grund av ett fel i hanteringen av Windows Metafile-filer ('.wmf') som innehåller specialgjorda SETABORTPROC 'Escape'-poster. Sådana poster tillåter att godtyckliga användardefinierade funktioner exekveras när renderingen av en WMF-fil misslyckas." Enligt Windows 3.1 SDK-dokumentationen SETABORTPROC -escapen föråldrad och ersattes av funktionen med samma namn i Windows 3.1, långt innan WMF-sårbarheten upptäcktes. Den föråldrade escape-koden behölls dock för kompatibilitet med 16-bitarsprogram skrivna för (eller åtminstone bakåtkompatibla med) Windows 3.0. Denna förändring skedde ungefär samtidigt som Microsoft skapade 32-bitars omimplementeringen av GDI för Windows NT, och det är troligt att sårbarheten inträffade under denna ansträngning.

"Escape"-mekanismen i fråga tillåter applikationer (inte metafiler) att få tillgång till utdataenhetsfunktioner som ännu inte abstraherats av GDI, såsom hårdvaruaccelererade Bézier-kurvor , inkapslat postscript-stöd, etc. Detta görs genom att skicka en op-kod, en storlek och en pekare till vissa data till samtalet, som vanligtvis bara skickar det vidare till föraren. Eftersom de flesta Escape-anrop producerar faktisk grafik, är den allmänna escape-mekanismen tillåten i metafiler utan att man från början tänkte på möjligheten att använda den för saker som SETABORTPROC, moderna icke-sårbara metafiltolkare kontrollerar nu opkoden mot en svartlista eller vitlista, samtidigt som de behåller hela uppsättningen opkoder tillgängliga för vanlig kod som anropar GDI-escape-funktionerna direkt (eftersom sådan kod redan körs på samma sätt som den kod den skulle kunna få GDI att anropa, finns det ingen säkerhetsrisk i så fall).

Det är värt att notera att 16-bitars Windows (förutom det sällan använda Real-läget i Windows 3.0) var immun mot sårbarheten eftersom pekaren som anges i metafilen bara kan peka på data i metafilen, och 16-bitars Windows alltid hade ett fullständigt nej- exekveringsdatatillämpning på uppdrag av den segmenterade arkitekturen i 16-bitars skyddat läge. Windows NT för andra CPU-arkitekturer än 32-bitars x86 (som MIPS, PowerPC, Alpha, Itanium och x86_64) krävde returorienterad programmering för att kunna utnyttja eftersom dessa arkitekturer saknade funktionen för att inte köra från äldre x86-processorer.

Sårbarheten är CVE - 2005-4560 i databasen Common Vulnerabilities and Exposures , US-CERT -referens VU#181038 och Microsoft Knowledge Base-artikel 912840. Den observerades först i naturen av forskare vid Sunbelt Software den 28 december 2005 och tillkännagavs offentligt av företagets VD Alex Eckelberry.

Förökning och infektion

Datorer kan påverkas genom spridning av infekterade e-postmeddelanden som innehåller den hackade WMF-filen som en bilaga . Infektion kan också bero på:

Andra metoder kan också användas för att sprida infektion. Eftersom problemet ligger i operativsystemet, ger det inte fullständigt skydd att använda webbläsare som inte kommer från Microsoft som Firefox eller Opera . Användare uppmanas vanligtvis att ladda ner och visa en skadlig fil som infekterar datorn. Infekterade filer kan laddas ner automatiskt , vilket öppnar möjligheten för infektion genom diskindexering eller oavsiktlig förhandsgranskning.

Enligt bedömningar från antivirusföretaget McAfee har sårbarheten använts för att sprida Bifrosts bakdörrstrojanska häst . Andra former av skadlig programvara har också utnyttjat sårbarheten för att leverera olika skadliga nyttolaster .

McAfee hävdar att den första generationen av sådana missbruk hade stött på av mer än 6 % av deras kundbas den 31 december 2005.

Officiell patch

Microsoft släppte en officiell korrigeringsfil för att åtgärda problemet den 5 januari 2006. Denna korrigeringsfil kan användas i stället för andra korrigerande åtgärder.

Den officiella patchen är tillgänglig för Windows 2000 , Windows XP och Microsoft Windows Server 2003 . Windows NT 4 och andra äldre operativsystem fick ingen patch eftersom de då inte längre stöddes av Microsoft. Steve Gibson sa i sin Security Now! podcast nr 20, att hans företag Gibson Research Corporation skulle göra en patch tillgänglig för Windows 9x- system om Microsoft inte gjorde det. Efter ytterligare forskning, sa Steve Gibson, i en senare Security Now! podcast nr 23, att Windows 9x och ME inte är sårbara och inte behöver lappas. Windows 9x/ME-användare kan köra sitt Mouse Trap-verktyg för att se detta själva.

gratis nedladdningsbar patch för Windows NT har tillhandahållits av Paolo Monti från Future Time, den italienska distributören av Esets NOD32 antivirussystem . Patchen fungerar på äldre operativsystem, men den levereras utan garanti.

Det har förekommit rapporter om att den officiella patchen installeras automatiskt även när Windows Automatic Update är konfigurerat för att fråga innan automatiskt nedladdade uppdateringar installeras. Detta orsakar en automatisk omstart , vilket kan orsaka förlust av data om användaren har ett program öppet med osparade ändringar.

Andra korrigerande åtgärder

Dessa åtgärder är av historiskt intresse endast på system som uppdateras den 5 januari 2006 eller senare.

Jobba runt

Som en lösning innan en patch var tillgänglig, den 28 december 2005, rådde Microsoft Windows-användare att avregistrera biblioteksfilen för dynamisk länk shimgvw.dll (vilket kan göras genom att utföra kommandot regsvr32.exe /u shimgvw.dll från Run meny eller kommandotolken ) som anropar förhandsgranskning av bildfiler och utnyttjas av de flesta av dessa attacker. DLL:n kan omregistreras efter patchning genom att köra regsvr32.exe shimgvw.dll . Den här lösningen blockerar en vanlig attackvektor men eliminerar inte sårbarheten.

Tredjeparts patch

En tredje parts patch släpptes av Ilfak Guilfanov den 31 december 2005 för att tillfälligt inaktivera det sårbara funktionsanropet i gdi32.dll. Denna inofficiella patch fick mycket publicitet på grund av att en officiell patch inte var tillgänglig från Microsoft, och fick rekommendation från SANS Institute Internet Storm Center och F-Secure. På grund av den stora mängden publicitet, inklusive att vara indirekt streckad , fick Guilfanovs webbplats fler besökare än den kunde klara av, och stängdes av den 3 januari 2006; patchen var fortfarande tillgänglig för nedladdning från ett antal speglar inklusive Internet Storm Center-webbplatsen.

Guilfanovs hemsida gick tillbaka online den 4 januari i ett mycket reducerat tillstånd. Inte längre tillhandahåller korrigeringen på plats på grund av bandbreddsproblem , hemsidan tillhandahöll en lista med speglar där en användare kunde ladda ner korrigeringsfilen och tillhörande sårbarhetskontroll, och MD5- kontrollsumman för filen, så att det kunde kontrolleras att en den nedladdade filen var förmodligen äkta.

Efter att Microsoft släppt sin patch drog Guilfanov tillbaka sin.

Riskminskningstekniker

Microsoft säger att deras patch tar bort den felaktiga funktionaliteten i GDI32 som möjliggjorde WMF-sårbarheten. För datorer som kör en oparpad version av Windows rekommenderades ett försvar på djupet för att minska risken för infektion. Olika källor har rekommenderat begränsningsinsatser som inkluderar:

  • Användning av hårdvaruförd dataexekveringsförebyggande effektiv för alla applikationer.
  • Ställ in standard WMF-applikationen så att den inte är mottaglig för infektion, till exempel Anteckningar .
  • Använd inte Internet Explorer, eller stäng åtminstone av nedladdningar genom att ställa in standardsäkerhetsinställningarna till höga.
  • Håll alla antivirusprogram uppdaterade. Överväg frekventa manuella uppdateringar.
  • Blockera alla WMF-filer på nätverkets perimeter genom filrubrikfiltrering.
  • Använda användarkonton som är konfigurerade med endast de användarrättigheter som krävs.
  • Inaktivera bildladdning i Internet Explorer och alla andra webbläsare.
  • Inaktivera bildladdning i Outlook Express .
  • Inaktivera hyperlänkar i MSN Messenger.
  • Inaktivera indexeringstjänsten på Windows 2000 , Windows XP och Windows Server 2003 .
  • Inaktivera Desktop Search-program som Google Desktop eller Windows Desktop Search tills problemet är åtgärdat.

kan användning av en annan webbläsare än Internet Explorer erbjuda ytterligare skydd mot denna sårbarhet. Beroende på inställningar kan dessa webbläsare fråga användaren innan de öppnar en bild med tillägget .wmf, men detta minskar bara chansen att öppna den skadliga Windows-metafilen och skyddar inte mot att sårbarheten utnyttjas eftersom dessa webbläsare fortfarande öppnar metafilen om det maskerar sig som ett annat format. Det är bättre att helt inaktivera bildladdning i alla webbläsare som används.

Anklagelser

2006 föreslog Steve Gibson att "buggens" säregna natur var en indikation på att sårbarheten faktiskt var en bakdörr som avsiktligt konstruerats i systemet. Anklagelsen blev ett påstående och spreds via internet som ett rykte efter att tekniknyhetswebbplatsen Slashdot tagit upp Gibsons spekulationer. Ryktet avslöjades allmänt och Thomas Greene, som skrev i The Register , tillskrev Gibsons misstag till "hans bristande säkerhetserfarenhet" och kallade honom en "popinjay-expert".

Anteckningar

  1. ^ Säkerhetsklocka: Iniquitous bilder äventyrar internet! , Larry Seltzer, PC Magazine.
  2. ^ En beskrivning av bildförhandsgranskningsfunktionen i Windows Millennium Edition, Microsoft.
  3. ^ sunbeltblog.blogspot.com Microsoft klargör DEP-problemet
  4. ^ Bibliotek för icke-Windows-operativsystem för att köra WMF-filer.
  5. ^ Linux/BSD exponeras fortfarande för WMF-exploatering genom WINE, ZDNet.
  6. ^ Det är inte en bugg, det är en funktion, F-Secure.
  7. ^ Exploit-WMF , av McAfee
  8. ^ Microsoft Security Advisory (912840) - Sårbarhet i grafikåtergivningsmotorn kan tillåta fjärrkodexekvering, Microsofts officiella råd om sårbarheten.
  9. ^ http://www.hexblog.com/2005/12/wmf_vuln.html , inofficiell patch av Ilfak Guilfanov.
  10. ^ Pålitlig beräkning , SANS Institute Internet Storm Center.
  11. ^ Ilfak till undsättning! , F-Secure.
  12. ^ Pålitlig beräkning , Slashdot. Länkar till SANS Institute Internet Storm Centers artikel med titeln Trustworthy Computing (se ovan).
  13. ^ .MSI-installationsfil för WMF-fel tillgänglig , SANS Institute Internet Storm Center.
  14. ^ Så här konfigurerar du minnesskydd i Windows XP SP2 , programvaruförsträvad DEP-funktion (Data Execution Prevention) i Microsoft Windows XP SP 2.
  15. ^ Hur man förbättrar surfprestandan i Internet Explorer (KB153790), Microsoft.
  16. ^ Bilder blockeras när du öppnar ett e-postmeddelande i Outlook Express på en Windows XP Service Pack 2-baserad dator (KB843018), Microsoft.
  17. ^ http://www.nod32.ch/en/download/tools.php Inofficiell WMF-patch av Paolo Monti distribuerad av ESET.
  18. ^ http://blogs.securiteam.com/index.php/archives/210 Inofficiell Windows 98SE patch av Tom Walsh.

externa länkar

Hämtad från " https://en.wikipedia.org/w/index.php?title=Windows_Metafile_vulnerability&oldid=1124348754 "