WMF-уязвимость. История вопроса

БЕЗОПАСНОСТЬ

По сообщению антивирусной компании Eset Software (www.esetnod32.ru), ее антивирусное ПО Eset NOD32 способно защитить пользователей от уязвимости графической подсистемы Windows при обработке файлов типа Windows Metafile (файлов WMF). По словам специалистов Eset, эта уязвимость имеет статус критической и в первую очередь касается Windows XP (Service Pack 1 и XP Service Pack 2), Windows XP Professional x64 Edition, Windows Server 2003 (включая Service Pack 1 и x64 Edition), Windows 2000, а также систем Windows 98/98 SE/Millennium.

Однако обнаруженная проблема является очень старой и может присутствовать в том или ином виде начиная с версии Windows 3.0, т. е. во всех версиях системы, выпущенных с 1990 г.

Из истории вопроса. Опубликованный в конце 2005 г. пример использования уязвимости графической подсистемы Windows при обработке файлов типа Windows Metafile, позволявшей потенциальному злоумышленнику захватить контроль над удаленной системой, немедленно привел к появлению многочисленных троянских программ, развивавших эту возможность.

Разработанные Microsoft форматы Windows Metafile (WMF), а также Enchanced Metafile (EMF) для хранения изображений в виде последовательности команд, приводящих к воспроизведению изображения на экране, привлекали внимание хакеров довольно давно. Еще в ноябре 2005 г. ими была найдена серьезная уязвимость этого формата, принадлежавшая к классическому типу “атак на переполнение буфера”. Данная уязвимость, приводившая к возможности исполнения нежелательного кода, также имела статус критической, однако, по утверждению Microsoft, относилась только к системам класса NT (Windows 2000, Windows XP, Windows Server 2003), исключая Windows 98 и Windows Millennium Edition.

Дальнейшие исследования в этой области привели к обнаружению документированной, хотя и забытой возможности использовать один из устаревших, однако вполне действующих вызовов Windows API для сохранения в теле метафайла произвольного программного кода. Код исполнялся в некоторых специальных ситуациях.

Это открытие произошло 27 декабря 2005 г., а уже 28 декабря появились первые подтвержденные сообщения о новом семействе интернет-червей, задействовавших данную уязвимость. Первоначально заражение происходило при посещении пользователем ряда сайтов (например, unionseek.com, ritztours.com, iframeurl.biz), использовавших WMF-уязвимость для загрузки троянских программ на удаленную машину.

Однако вскоре после этого появились и автономные версии вирусов, распространявшихся в виде почтовых червей, пересылавшихся в прикрепленных к письму файлах изображений. Просмотр изображения, содержавшегося в письме, приводил к активации червя; при этом многие программы просмотра (в первую очередь - стандартные средства Windows) корректно распознавали формат wmf по бинарному содержимому изображения, что позволяло разработчикам вредоносного ПО использовать и другие расширения помимо wmf: например, более привычные gif или jpg.

При этом стоит отметить, что специфические особенности открывшейся уязвимости значительно облегчали задачу маскировки кода, и даже среди тех программ-антивирусов, которые учитывали потенциальную опасность содержимого в прикрепленных изображениях, далеко не все справлялись с определением сигнатур некоторых вирусов этой категории.

Таким образом, опасность для пользователя возникала как при посещении специально сформированной Интернет-страницы, так и при локальном открытии изображения, содержащего вирус (в частности, при получении такового по электронной почте). Например, браузер Internet Explorer открывал подобное изображение при автоматическом перенаправлении, не запрашивая дополнительных подтверждений у пользователя. Менее распространенные браузеры Opera и Firefox предлагают при этом открыть или сохранить картинку, запуская в первом случае внешнее приложение.

Большинство внешних приложений (программа просмотра изображений и факсов - Windows Picture And Fax Viewer), приложения Microsoft Office,

XnView, IrfanView и IBM Lotus Notes оказываются в данном случае уязвимыми, что приводит к заражению системы.

Важная особенность уязвимости состоит в том, что угроза заражения системы существует не только при открытии файла, содержащего вредоносный код, но также и при исполнении следующих действий:

- простой просмотр содержимого папки Windows XP, в которой находится инфицированное изображение (при этом режим предварительного просмотра preview может даже быть отключен);

- использование диалога открытия файла приложения Microsoft Office, например при вставке файла в документ Microsoft Word;

- просмотр свойств зараженного изображения.

При этом смена расширения файла не приводит к утрате им потенциально опасных свойств. Заражения может и не произойти при простом просмотре html-страницы, содержащей вредоносное изображение в качестве внедренной картинки; однако открытие такого изображения по прямой ссылке может быть опасно.

Пользователи систем Windows 9x (например, Windows 98 и ME) находятся в несколько меньшей опасности вследствие того, что в этих системах по умолчанию не присутствует встроенный обработчик wmf-файлов.

Компания Microsoft отреагировала на уязвимость, выпустив 28-го декабря прошлого года так называемый “совет по безопасности” (Security Advisory) 912840, в котором признавала существование проблемы и обещала решить ее до 10 января (патч был выпущен 6 января).

Интересно отметить, что уже 31 декабря на сайте eWeek (www.eweek.com) появился отчет о тестировании способности антивирусных программ противостоять угрозе, связанной с wmf-файлами. Испытания проводились независимой тестовой лабораторией AV-Test (www.av-test.org), специализирующейся на тестировании антивирусного ПО. В тестировании использовалось 73 варианта вредоносных файлов WMF. Продукты следующих антивирусных компаний смогли идентифицировать все 73 угрозы:

- Alwil Software (продукт под названием Avast);

- Softwin (BitDefender);

- ClamAV;

- F-Secure;

- Fortinet;

- McAfee;

- Panda Software;

- Sophos Plc;

- Symantec;

- Trend Micro;

- VirusBuster.

Другие антивирусные компании хотя и объявили об опасности довольно быстро, но не смогли предложить к моменту тестирования надежную защиту от WMF-уязвимости. Так, их антивирусные продукты обнаружили угрозу в меньшем числе использовавшихся в тестировании вредоносных файлов WMF-уязвимость.

Полный текст публикации в eWeek находится на сайте: www.eweek.com/article2/ 0,1895,1907131,00.asp. Специальный репортаж и хронологию событий можно посмотреть на сайте: www.eweek.com/category2/0,1874,1252525,00.asp.

Справедливости ради надо сказать, что в более поздних тестированиях с защитой от вредоносных WMF-файлов справилось уже большее число антивирусных пакетов.

На 11 января компанией Microsoft выпущено необходимое исправление только для версий систем Windows XP, Windows 2000 (Service Pack 4) и Windows Server 2003.

Что же касается остальных версий семейства ОС, то, предположительно, обновление от Microsoft будет доступно для них несколько позже.