Windows Metafile -haavoittuvuus

Windows Metafile -haavoittuvuus ^[1] on Microsoft Windows -järjestelmien tietoturvahaavoittuvuus, jota on käytetty hyväksi useissa haittaohjelmissa vuoden 2005 joulukuun jälkeen. Ensimmäiset keskustelut haavoittuvuudesta käytiin tietoturvallisuuspiireissä joulukuun 26. ja 27. joulukuuta päivän paikkeilla. Ensimmäisistä saastuneista tietokoneista raportoitiin 24 tunnin sisällä. Keskusteluissa on spekuloitu jonkin verran haavoittuvuuden tahallisuudesta. Microsoft kiistää väitteet. ^[2]

Tiedostoon gdi32.dll paikallistettu haavoittuvuus syntyy Windowsin tavasta käsitellä Windows Metafile (WMF) -vektorigrafiikkaa ja sallii mielivaltaisen ohjelmakoodin suorittamisen ilman tietoa käyttäjästä tai hänen suoritusoikeudestaan. Haavoittuvuus mahdollistaa erilaisten haittaohjelmien lisääntymisen, tyypillisesti uusien ladattavien haittaohjelmien kautta.

5. tammikuuta 2006 Microsoft julkisti korkean prioriteetin korjauspaketin. Se oli saatavilla Windows Updaten kautta. Windows 98, Windows 98 Second Edition, Windows Millennium Edition-järjestelmiin ei ollut saatavana korjauspaikkaa, sillä Microsoft ei katsonut haavoittuvuutta niin kriittiseksi näissä versioissa.

Järjestelmät muokkaa

Jokainen Microsoft Windows käyttää Windows-metatiedostoja. Kaikki versiot Windows 3.x:sta uusimpaan Windows Server 2003 R2:een sisältävät tämän vian. Kuitenkin vain Windows XP:stä lähtien sisältää perusasennuksessaan käsittelijän ja lukutoiminnot WMF-tiedostoille. Niihin vika vaikuttaa paljon enemmän. ^[3] Windows Me -järjestelmä on haavoittuvainen, jos kuvien esikatseluominaisuus on kytketty päälle. ^[4] Toisia Windows-versioita tai Millennium Editionilla toimivat järjestelmät ilman kuvien esikatselua tai Data Execution Prevention (DEP) eivät ole haavoittuvia tunnetuilla vian eksploiteilla. Ne ovat kuitenkin alttiita uusille tuleville eksploittiversioille ja vielä tuntemattomille eksploiteille ^[5].

Muut kuin Windows-järjestelmät (Mac OS, Linux, jne.) eivät ole suoraan alttiita vialle. Alttiita ovat ainoastaan näissä järjestelmissä toimivat kolmannen osapuolen ohjelmat, jotka käyttävät WMF-tiedostoja ja jotka käyttävät natiivia Windowsin GDI-DLL:ää ^[6] tai kopioituja klooneja; toisin sanoen emulaattorit ja yhteensopivuuskerrokset. Esimerkiksi Winessä on oma GDI-versio, joka toteuttaa Microsoftin määritelmät (spesifikaatiot) niin hyvin kuin on mahdollista. Wine sisältää tämän WMF-vian ^[7], vaikka se ei ole samalla tavalla altis haavoittuvuudelle.

Haavoittuvuus muokkaa

F-Securen ^[8] mukaan haavoittuvuus on WMF-tiedostojen suunnitteluvika, koska suunniteltu arkkitehtuuri on peräisin muinaisesta tietokonearkkitehtuurista sisältäen ominaisuuksia, jotka mahdollistavat ohjelmakoodin suorittamisen kun WMF-tiedosto avataan. Alkuperäinen idea tässä oli pääasiassa käsitellä tulostustöiden keskeyttäminen tulostusjonoissa.

Haavoittuvuus on CVE-2005-4560 (Arkistoitu – Internet Archive) Common Vulnerabilities and Exposures -tietokannassa, US-CERT-viite VU#181038 ja Microsoftin Knowledge Base -artikkeli 912840.

On arveltu, että WMF-tiedostoissa on lisää haavoittuvuuksia.

Leviäminen ja tartunta muokkaa

Tietokoneet saastuvat hakkeroituja WMF-tiedostoja liitetiedostoina sisältävien sähköpostien välityksellä. Muita tartuntatapoja ovat

WWW-sivun katselu selaimella, joka avaa automaattisesti vahingoittavan WMF-tiedoston. Tässä tapauksessa mikä tahansa vahingoittava ohjelmakoodi ladataan ja avataan. Tämä toimii Internet Explorerissa, Microsoft Windowsin oletusselaimessa jokaisessa versiossa vuodesta 1996 lähtien.
Vahingoittavan tiedoston esikatselu Windows Explorerissa.
Sähköpostien esikatselu vanhemmissa Microsoft Outlook ja Outlook Expressin versioilla.
Kovalevyn indeksointi, joka sisältää Googlen työpöydän.
Linkin napsauttaminen instant messaging -järjestelmällä Microsoft Messengerissä.

Leviäminen voi tapahtua muilla tavoilla. Koska haavoittuvuus on käyttöjärjestelmässä, toisien selaimien (kuten Mozilla Firefox) käyttäminen ei täysin suojele haavoittuvuudelta. Käyttäjiä pyydetään yleensä lataamaan ja katsomaan tiedostoa, jolloin tartunta tapahtuu. Saastuneet tiedostot voidaan ladata automaattisesti, joka avaa mahdollisuuden tartuntaan levyn indeksoinnissa ja esikatselussa.

McAfeen ^[9] mukaan haavoittuvuutta on käytetty Bifrose-takaovitroijalaiseen^[10]. Myös muita haittakoodeja on käytetty.

McAfee ilmoittaa, että näiden eksploittien ensimmäistä sukupolvea on laskettu olevan enemmän kuin 6% asiakastietokannassa 31.12.2005. Secunian mukaan haavoittuvuus johtuu Windows-metatiedostojen (.wmf) käsittelyssä sisältäen erityisiä SETABORTPROC ‘Escape’ -tietueita. Tällaiset tietueet sallivat mielivaltaisen käyttäjän määrittelemän funktion suorituksen kun WMF-tiedoston renderöinti epäonnistuu.

Virallinen korjauspaikka muokkaa

Microsoft julkaisi virallisen korjauspaikan (saatavilla täällä) 5. tammikuuta 2006, viisi päivää luvattua aiemmin. Tämä korjauspaikka tuli asentaa muista tietoturvapäivityksistä riippumatta.

Virallinen paikka oli saatavilla Windows 2000-, Windows XP- ja Microsoft Windows Server 2003 -käyttöjärjestelmille. Windows 98 tai Windows Me -järjestelmille ei oltu julkaistu paikkaa koska Microsoft päätti, että haavoittuvuus ei ollut kriittinen näissä käyttöjärjestelmissä. (Ainoastaan kriittisiä päivityksiä tarjotaan näille järjestelmille Microsoftilta.) Muille Microsoftin käyttöjärjestelmille ei ole saatavilla paikkaa, sillä Microsoft ei tue enää niitä. Tunnettu tietoturva-asiantuntija Steve Gibson kertoo [1], hänen Security Now! -podcastissaan, että hänen yhtiönsä Gibson Research Corporation tekee ja antaa saataville paikan Windows 9X -järjestelmille, jos Microsoft ei itse julkaise sellaista.

Välitöntä korjauspaikkaa etsivät Windows 98 ja Windows Me -käyttäjät olivat voineet asentaa Paolo Montinin ja Eset-yhtiön (NOD32 Anti-virus -järjestelmän tekijä) tekemän paikan. Paikan oli voinut ladata vapaasti ja se toimi vanhemmissa järjestelmissä, mutta sille ei annettu toimivuustakuuta. Se on saatavilla täältä (Arkistoitu – Internet Archive).^[11]

On raportoitu, että Microsoftin virallinen paikkaus asentuisi automaattisesti vaikka järjestelmä olisi määritetty pyytämään aina vahvistusta päivitysten asentamiselle. Tästä pakkoasentamisesta seuraa tietokoneen uudelleenkäynnistäminen ja tästä voi seurata tallentamattomien tietojen häviämistä.

Muut korjaavat toimenpiteet muokkaa

Hätäratkaisu muokkaa

Hätäratkaisuna ^[12] 28. joulukuuta 2005 Microsoft neuvoo Windowsin käyttäjiä poistamaan dll-tiedoston shimgvw.dll rekisteröinnin (joka voidaan tehdä suorittamalla komento regsvr32.exe /u shimgvw.dll Suorita-valikosta tai komentokehotteella). Tämä kutsuu kuvien esikatselua ja sen kautta tulee suurin osa hyökkäyksistä. DLL voidaan uudelleenrekisteröidä uudelleen suorittamalla regsvr32.exe shimgvw.dll kunhan vika on korjattu.

Kolmannen osapuolen paikat muokkaa

Ilfak Guilfanov julkaisi kolmannen osapuolen paikkaohjelman^[13] 31. joulukuuta 2005 väliaikaisesti estämään haavoittuva funktiokutsu gdi32.dll -tiedostossa. Tämä epävirallinen paikka sai paljon julkisuutta, sillä Microsoft ei ollut julkaissut virallista paikkaa. Guilfanovin paikkaohjelma sai SANS Institute Internet Storm Centerin ^[14] suosituksen ja F-Securen suosituksen ^[15].

Suuren julkisuuden takia mukaan lukien epäsuorasti Slashdot-vaikutus ^[16] Guilfanovin WWW-sivun palvelin ylikuormittui kävijämääristä ja kaatui 3. tammikuuta 2006. Alhaallaolon aikana WMF-korjauspaikka oli saatavilla ladattavaksi lukuisista peilipalvelimista, mukaan lukien Internet Storm Centerin WWW-sivu ^[17]. Guilfanovin WWW-sivu tuli takaisin 4. tammikuuta hyvin pelkistetyssä muodossa. Siellä ei ollut enää paikkatiedostoa, jotta palvelinkoneen yhteyksien kaistanleveys ei ylikuormittuisi.

Hexblog tarjosi luettelon peilipalvelimista, joista käyttäjät voivat ladata paikan ja haavoittuvuuden tarkistusohjelman, sekä MD5-tarkistussumman alkuperäiselle tiedostolle, jotta lataajat voivat varmistua ladatun tiedoston eheydestä.

Kun Microsoft julkaisi oman paikkansa, Guilfanov otti omansa pois ja patisti sivulla vierailijoita asentamaan virallisen paikan. Hänen tarkoituksena oli koko ajan kannustaa ihmisiä käyttämään tarjottua ja testattua virallista paikkaa.

Riskien vähentämistekniikat muokkaa

Microsoftin mukaan heidän paikkansa poistaa viallisen toiminnallisuuden WMF-haavoittuvuuden sallivasta tiedostosta gdi32. Paikkaamattomia Windowseja käyttävä tietokoneelle suositellaan syvällistä suojausta, joka lieventää tartuntariskiä. Useat lähteet suosittelevat vähentämään seuraavia toimenpiteitä:

Käytä laitteistopohjaista (hardware) Data Execution Prevention ^[18], joka vaikuttaa kaikkiin sovelluksiin.
Aseta WMF-sovellukseksi jokin turvallinen sovellus kuten Notepad.
Älä käytä Internet Exploreria tai vähintään poista lataukset asettamalla turvallisuusasetukset korkeiksi (HIGH).
Päivitä valppaasti kaikkia virustorjuntaohjelmia. Harkitse tiheää käsin päivittämistä.
Estä kaikki WMF-tiedostot verkossasi tiedostojen header-suodatuksella.
Käytä käyttäjäkansioita, joissa on mahdollisimman vähän käyttäjäoikeuksia kuin mahdollista.
Estä kuvien lataukset Internet Explorerissa ja kaikissa muissa selaimissa. ^[19]
Estä kuvien lataukset Outlook Expressissä.^[20]
Estä hyperlinkit Messengerissä.
Estä Microsoft Indexing Service Windows 2000:ssa, Windows XP:ssä ja Windows Server 2003:ssa.
Estä Google-työpöydän indeksointi, kunnes ongelma on korjattu.
Käytä eri käyttöjärjestelmää, kuten Linux tai Mac OS X, erityisesti suurten riskien toiminnoissa kuten pikaviestinnässä tai foorumien selaamisessa, jotka sallivat avatareja tai <img> -tunnisteita.

Tämän SANS Institute Internet Storm Center artikkelin mukaan jonkun muun selaimen kuin Internet Explorerin käyttäminen voi tarjota lisäsuojaa haavoittuvuutta vastaan. Asetuksista riippuen nämä selaimet voivat kysyä käyttäjältä vahvistusta ennen .wmf -lisäosan sisältävän kuvan avaamista. Tämä vähentää vain saastuneiden WMF-tiedostojen avaamisia, eikä suojaa haavoittuvuudelta. Selaimet avaavat yhä metatiedoston, jos se on naamioitu toiseen muotoon. On parempi estää kuvien lataukset kokonaan valitsemassasi selaimessa.

Lähteet muokkaa

↑ CERT-FI varoitus 90/2005 Viestintäviraston varoitus WMF-haavoittuvuudesta
↑ DigiToday artikkeli Microsoft kiistää wmf-aukon tahallisuuden
↑ Security Watch: Iniquitous Images Imperil the Internet!, Larry Seltzer, PC Magazine, julkaistu ABC News www-sivulla.
↑ A Description of the Image Preview Feature in Windows Millennium Edition, Microsoft.
↑ Microsoft selvittää DEP-kysymystä
↑ Library for non-Windows operating systems WMF-tiedostojen käyttöön.
↑ Linux/BSD still exposed to WMF exploit through WINE (Arkistoitu – Internet Archive), ZDNet.
↑ It's not a bug, it's a feature, F-Secure.
↑ Exploit-WMF (Arkistoitu – Internet Archive), McAfee
↑ F-Securen info Bifrose-troijalaisesta
↑ Does Windows Patch Without Permission? (Arkistoitu – Internet Archive)
↑ Microsoft Security Advisory (912840) - Vulnerability in Graphics Rendering Engine Could Allow Remote Code Execution, Microsoftin virallinen ohje haavoittuvuuteen.
↑ Ilfak Guilfanovin epävirallinen paikka (Arkistoitu – Internet Archive)
↑ Trustworthy Computing, SANS Institute Internet Storm Center
↑ Ilfak to the rescue!, F-Secure
↑ Trustworthy Computing, Slashdot. Osoittaa SANS Institute Internet Storm Centerin artikkeliin otsikolla Trustworthy Computing (katso yllä).
↑ .MSI installer file for WMF flaw available, SANS Institute Internet Storm Center.
↑ How to Configure Memory Protection in Windows XP SP2, software-enforced Data Execution Prevention (DEP) feature in Microsoft Windows XP SP 2
↑ How to improve browsing performance in Internet Explorer (KB153790), Microsoft
↑ Images are blocked when you open an e-mail message in Outlook Express on a Windows XP Service Pack 2-based computer (KB843018), Microsoft

Lisätietoa muokkaa

Microsoft Security Bulletin for novice Home Users
Microsoft Security Bulletin MS06-001
WMF FAQ - SANS Institute Internet Storm Center
Windows Security Flaw Is 'Severe' - Washington Post
Microsoft Windows WMF "SETABORTPROC" Arbitrary Code Execution - Secunian tiedote
New exploit released for the WMF vulnerability - SANS Institute Internet Storm Center
Be careful with WMF files - Ole varovainen WMF-tiedostojen kanssa, F-Secure
Example exploit (Arkistoitu – Internet Archive) - Metasploit
MSDN pages for Escape and SetAbortProc
About Ilfak Guilfanov (Arkistoitu – Internet Archive) - Ilfak Guilfanovin pieni biografia
DigiToday - WMF-hyökkäyskoodin julkaisija kritisoi virustorjujia

[1] CERT-FI varoitus 90/2005 Viestintäviraston varoitus WMF-haavoittuvuudesta

[2] DigiToday artikkeli Microsoft kiistää wmf-aukon tahallisuuden

[3] Security Watch: Iniquitous Images Imperil the Internet!, Larry Seltzer, PC Magazine, julkaistu ABC News www-sivulla.

[4] A Description of the Image Preview Feature in Windows Millennium Edition, Microsoft.

[5] Microsoft selvittää DEP-kysymystä

[6] Library for non-Windows operating systems WMF-tiedostojen käyttöön.

[7] Linux/BSD still exposed to WMF exploit through WINE (Arkistoitu – Internet Archive), ZDNet.

[8] It's not a bug, it's a feature, F-Secure.

[9] Exploit-WMF (Arkistoitu – Internet Archive), McAfee

[10] F-Securen info Bifrose-troijalaisesta

[11] Does Windows Patch Without Permission? (Arkistoitu – Internet Archive)

[12] Microsoft Security Advisory (912840) - Vulnerability in Graphics Rendering Engine Could Allow Remote Code Execution, Microsoftin virallinen ohje haavoittuvuuteen.

[13] Ilfak Guilfanovin epävirallinen paikka (Arkistoitu – Internet Archive)

[14] Trustworthy Computing, SANS Institute Internet Storm Center

[15] Ilfak to the rescue!, F-Secure

[16] Trustworthy Computing, Slashdot. Osoittaa SANS Institute Internet Storm Centerin artikkeliin otsikolla Trustworthy Computing (katso yllä).

[17] .MSI installer file for WMF flaw available, SANS Institute Internet Storm Center.

[18] How to Configure Memory Protection in Windows XP SP2, software-enforced Data Execution Prevention (DEP) feature in Microsoft Windows XP SP 2

[19] How to improve browsing performance in Internet Explorer (KB153790), Microsoft

[20] Images are blocked when you open an e-mail message in Outlook Express on a Windows XP Service Pack 2-based computer (KB843018), Microsoft

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]