WMF FAQ

Versione originale inglese: http://isc.sans.org/diary.php?storyid=994
Data di prima pubblicazione della versione inglese: 2006-01-01
Ultimo aggiornamento: 2006-01-07 12:27:20 UTC a cura di Swa Frantzen (versione numero 5)
Questa traduzione corrisponde alla versione inglese numero 5.

Perché questo problema è così importante?

La vulnerabilità WMF utilizza immagini (di tipo WMF, Windows MetaFile) per eseguire codice arbitrario; basta visualizzare l'immagine perché tale codice venga eseguito. In molti casi non c'è nemmeno bisogno di fare clic sull'immagine; se usate programmi di ricerca veloce su desktop potrebbe addirittura bastare che un'immagine venga salvata o sia stata salvata in precedenza; persino aprire una cartella e visualizzare le miniature delle immagini farà scattare l'attacco. Microsoft ha inizialmente annunciato che non avrebbe distribuito patch ufficiali prima del 10 gennaio 2006 (data già fissata per gli aggiornamenti di sicurezza), poi invece ha rilasciato la patch in anticipo.

E' meglio usare Firefox o Internet Explorer?

Internet Explorer visualizzerà l'immagine e farà scattare l'attacco senza darvi alcun avviso. Le ultime versioni di Firefox vi avviseranno prima di aprire l'immagine. Questo comunque non vi proteggerà molto, dato che le immagini sono considerate innocue nelle configurazioni più comuni.

Quali versioni di Windows sono vulnerabili?

Tutte: Windows 2000, Windows XP (anche con SP1 o SP2), Windows 2003 sono vulnerabili ad attacchi già noti; ma tutte le versioni di Windows sono vulnerabili in qualche modo. Sono invece immuni Mac OS X, Unix e BSD.
Se usate versioni di Windows vecchie come Windows 98 o Windows ME, questo è un momento cruciale: riteniamo (anche se non possiamo confermarlo) che il vostro sistema sia vulnerabile e che Microsoft non vi fornirà una patch per ripararlo, quindi avete poche speranze di limitare i danni: dovreste proprio passare ad un sistema operativo più recente.

Come posso proteggermi?

1. Date le condizioni eccezionali, abbiamo consigliato nei giorni scorsi di installare una patch non ufficiale; ora che la patch ufficiale di Microsoft è disponibile consigliamo di usare quest'ultima.
2. Il programmatore Ilfak Guilfanov ha rilasciato una patch non ufficiale, che il nostro Tom Liston ha controllato e noi abbiamo testato. La versione controllata e testata non si può più scaricare dal nostro sito (l'ultima versione era la 1.4, checksum MD5: 15f0a36ea33f39c1bcf5a98e51d4f4f6), firma PGP (con la chiave dell'Internet Storm Center) su http://handlers.sans.org/tliston/wmffix_hexblog14.exe.asc. GRAZIE a Ilfak Guilfanov per averci fornito la patch!
3. Anche il nostro precedente consiglio di annullare la registrazione di una DLL è ora diventato obsoleto.

Come faccio a registrare di nuovo la DLL e rimuovere la patch non ufficiale?

Importante: riavviate il sistema prima di registrare nuovamente la DLL: potrebbero esserci immagini WMF maligne in memoria che aspettano di essere visualizzate; i nostri test hanno dimostrato che tali immagini verranno eseguite appena la DLL viene registrata di nuovo.
Per registrare nuovamente la DLL, dal menù Start fate clic su Esegui, digitate
regsvr32 %windir%\system32\shimgvw.dll
(è lo stesso comando che si usa per annullare la registrazione, ma senza l'opzione -u) e fate clic su OK.
Per rimuovere la patch non ufficiale, aprite la finestra "Aggiungi/Rimuovi Programmi" dal Pannello di Controllo, trovate la patch nella lista e disinstallatela.
Altrimenti, senza passare dal pannello di controllo, digitate dal prompt dei comandi:
msiexec.exe /X{E1CDC5B0-7AFB-11DA-8CD6-0800200C9A66} /qn

Come funziona la patch non ufficiale?

In ogni processo che carica user32.dll viene "iniettata" wmhotfix.dll, che modifica in memoria la funzione Escape() di gdi32.dll in modo che essa ignori tutte le chiamate che utilizzano il parametro SETABORTPROC (0x09). Questo dovrebbe impedire l'attacco ma consentire ai programmi Windows di mostrare normalmente i file WMF. La versione della patch che avevamo messo a disposizione era stata verificata con il codice sorgente messo a disposizione e testata con tutte le varianti note dell'attacco. Funzionava su Windows XP (anche con SP1 o SP2) e con Windows 2000. La documentazione fornita da Microsoft mostra che anche la patch ufficiale ha lo stesso effetto.

Ci sono altre patch?

ESET, casa produttrice dell'antivrus NOD32, ha pubblicato un'altra patch, descritta su http://www.eset.com/about/press.htm#media; non l'abbiamo controllata attentamente come quella di Ilfak e non lo faremo dato che nel frattempo è arrivata la patch ufficiale; la patch di ESET funziona anche su versioni di Windows più datate, come Windows ME, e non richiede il riavvio del sistema; per altre informazioni fate riferimento al sito indicato.
La patch ufficiale, ma non definitiva, di Microsoft sarebbe stata trafugata e inserita in alcuni siti Web; Microsoft consiglia di non installare quella versione.

C'è un test per vedere se sono vulnerabile?

Abbiamo creato un'immagine WMF che avvierà la calcolatrice di Windows: la trovate su http://sipr.net/test.wmf e tutti gli antivirus aggiornati dovrebbero essere in grado di rilevarne la pericolosità, dato che abbiamo usato una variante dell'attacco particolarmente facile da rilevare; se il vostro antivirus rileva la pericolosità di questa immagine non è però detto che riesca a rilevare altre varianti dell'attacco.

E se io annullassi solo la registrazione della DLL, senza usare la patch (ufficiale o no)?

Potrebbe essere comunque d'aiuto, ma non è una soluzione sicura al 100%: per essere chiari, abbiamo sospetti molto fondati che il solo annullamento della registrazione di shimgvw.dll non basti. La DLL può essere registrata di nuovo da codice maligno o da normali installazioni, e può succedere che ri-registrare la DLL su un sistema attivo che ha subito un attacco non andato a buon fine possa innescare tale attacco. E poi potrebbero esserci altri modi di chiamare la funzione Escape() di gdi32.dll. Consigliamo di usare la patch ufficiale di Microsoft.

E se io cancellassi la DLL?

Non sarebbe una brutta idea, ma Windows File Protection, uno dei sistemi di protezione interni di Windows, la ripristinerebbe; quindi dovrete prima disattivare Windows File Protection. E poi quando sarà disponibile una patch ufficiale dovrete rimettere la DLL al suo posto per sostituirla. Insomma, è meglio rinominarla che cancellarla, così l'avrete sempre a disposizione.

E se io bloccassi tutte le immagini WMF?

Può aiutare ma non basta. I file WMF sono riconosciuti da una particolare intestazione all'interno del file, non dall'estensione. I file potrebbero arrivarvi con qualsiasi estensione, o inseriti in documenti Word o di altro tipo.

Cos'è DEP (Data Execution Protection) e come può proteggermi?

DEP, introdotto da Microsoft con Windows XP SP2, protegge da una vasta gamma di attacchi impedendo l'esecuzione di "segmenti dati", ma per funzionare bene deve essere supportato dall'hardware. Alcune CPU, come quella a 64 bit di AMD, hanno un supporto DEP completo e impediranno l'attacco. Sul sito di Microsoft ci sono ulteriori informazioni.

Quanto possono aiutarmi gli antivirus ad evitare l'attacco?

In questo momento sono note versioni dell'attacco che sfuggono agli antivirus. Speriamo che gli antivirus siano in grado di recuperare entro breve, ma sarà comunque difficile che gli antivirus intercettino tutte le varianti: un antivirus aggiornato è necessario ma probabilmente non basterà.

Come può un file WMF entrare nel mio sistema?

Ci sono tantissimi modi, troppi per elencarli tutti. Allegati, siti web, messaggi istantanei sono i più probabili, ma non si devono trascurare i sistemi di file sharing P2P e altri modi.

Basterà dire ai miei utenti di non visitare siti web non fidati?

No. Aiuta, ma probabilmente non basterà. Ad esempio un sito ritenuto fidato (knoppix-std.org) ha subito un attacco che, tra l'altro, ha aggiunto un "frame" che portava gli utenti ad un file WMF maligno. E' già successo in passato che siti "fidati" subissero attacchi come questo.

Qual è il vero problema delle immagini WMF?

Le immagini WMF sono un po' diverse dalle altre immagini perché, anziché contenere solo informazioni del tipo "questo punto ha questo colore", possono chiamare procedure esterne, e le chiamate possono essere utilizzate per eseguire codice.

Dovrei usare qualcosa come "dropmyrights" per limitare i danni di un attacco?

Certamente: non bisogna mai lavorare con privilegi di amministratore se non serve. Questo però, pur limitando i danni, non vi proteggerà dall'attacco. E poi navigare su Internet è solo uno dei modi di fare scattare l'attacco: se l'immagine è rimasta da qualche parte nel sistema, e più tardi un amministratore la apre, tutto il sistema può essere colpito.

I miei server sono vulnerabili?

Forse sì. Permettete agli utenti di caricare immagini sul server? E la posta? Queste immagini vengono catalogate da qualche sistema automatico? Usate qualche volta un browser dal server? In breve: se qualcuno può fare in modo che un'immagine arrivi sul vostro server, e se la DLL vulnerabile può aprirla, si può dire che il vostro server è vulnerabile.

Cosa posso fare sul firewall per proteggere la mia rete?

Non molto. Un proxy che blocca il caricamento di tutte le immagini dalle pagine web non vi procurerebbe la gratitudine degli utenti. Almeno bloccate le immagini WMF, ma ricordate la nota qui sopra a proposito delle estensioni. Se il vostro proxy ha un antivirus, potrebbe ripararvi, e la stessa cosa per i server di posta. Meglio limitare al massimo la possibilità dei vostri utenti di attivare connessioni verso l'esterno. Un buon monitoraggio delle postazioni degli utenti può aiutarvi a vedere se una postazione è infetta.

Posso usare un IDS per rilevare l'attacco?

Molti produttori di IDS stanno aggiornando le impronte, contattate il vostro fornitore per saperne di più. Bleedingsnort.org fornisce agli utenti di Snort delle impronte che vengono costantemente migliorate.

Se sono colpito dall'attacco cosa posso fare?

Non molto, purtroppo. Dipende molto da quale variante vi colpisce: molte varianti scaricheranno componenti aggiuntivi e sarà difficile o addirittura impossibile trovarli tutti. Microsoft offre supporto gratuito (NdT: negli Stati Uniti e in Canada; per l'Italia vedere http://support.microsoft.com/security/) al numero 866-727-2389 (866 PC SAFETY).

Microsoft mette a disposizione informazioni?

Sì, su http://www.microsoft.com/technet/security/advisory/912840.mspx c'erano informazioni sull'attacco e su come arginarlo, che ora sono superate con il rilascio della patch ufficiale su http://www.microsoft.com/technet/security/bulletin/ms06-001.mspx.

Cosa dice il CERT?

Vedere:

• http://www.kb.cert.org/vuls/id/181038
• http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-4560.