Уязвимость метафайла Windows - Windows Metafile vulnerability

В Уязвимость метафайла Windows- также называется Выполнение кода изображения метафайла и сокращенно МЫШЕЙ-это уязвимость безопасности как некоторые версии Майкрософт Виндоус Операционная система обработал изображения в Метафайл Windows формат. Это позволяет произвольный код выполняться на пораженных компьютерах без разрешения их пользователей. Он был обнаружен 27 декабря 2005 года, и первые сообщения о зараженных компьютерах были объявлены в течение 24 часов. Microsoft выпустила высокоприоритетное обновление для устранения этой уязвимости с помощью Центр обновления Windows 5 января 2006 г.[1] Атаки с использованием этой уязвимости известны как WMF эксплойты.

Уязвимость находилась в gdi32.dll и существовал во всех версиях Microsoft Windows от Windows 3.0 к Windows Server 2003 R2. Однако векторы атак существуют только в версиях Windows на базе NT (Windows NT, Windows 2000, Windows XP и Windows Server 2003 ). Эксплойты воспользовавшись уязвимостью на Windows NT -системы способствовали распространению различных типов вредоносное ПО обычно через попутные загрузки.

Из-за экстремального воздействия эта ошибка выиграла 2007 год. Премия Pwnie для "Mass 0wnage" и "Взлом Интернета".

Затронутые системы

Все версии Майкрософт Виндоус Операционная система поддерживает графический стандарт Windows Metafile. Все версии от Windows 3.0 к Windows Server 2003 R2 содержат этот недостаток безопасности.[2] Тем не мение, Windows NT 4.0 и Windows XP, пока не залатанный, более уязвимы, чем предыдущие версии, поскольку их установка по умолчанию включает выполнение кода метафайла Windows, являющегося источником уязвимости.[3] Более поздние версии Windows не имеют этой уязвимости.[2]

По мнению эксперта по компьютерной безопасности Стив Гибсон, Windows NT 4 уязвим для известных эксплойтов, если включен предварительный просмотр изображения.[3] Операционные системы Windows, в которых не включен предварительный просмотр изображений или которые имеют аппаратную Предотвращение выполнения данных (DEP), активный для всех приложений, не должен быть подвержен этому эксплойту.[4]

Операционные системы, отличные от Windows (например, macOS, Unix, Linux и т. д.) напрямую не затрагиваются. Однако система, отличная от Windows, может стать уязвимой, если в ней запущено программное обеспечение для просмотра файлов Windows WMF. Это может включать программное обеспечение, которое включает в себя или клонирует родной Windows Интерфейс графического устройства (GDI) Библиотека с динамической компоновкой (DLL)[1] или которые запускают программы Windows или Windows через эмулятор или же уровень совместимости. А Unix-подобный система, которая использует Вино например, для эмуляции Windows.[5] Гибсон написал программу MouseTrap, которую его компания распространяет как бесплатное ПО, для обнаружения уязвимости Windows Metafile в системах, работающих под управлением Windows и эмуляторов Windows.[3]

Уязвимость

По оценкам F-Secure,[2] уязвимость является врожденным дефектом в конструкции файлов WMF, поскольку лежащая в основе архитектура таких файлов из предыдущая эпоха, и включает функции, которые позволяют выполнять фактический код при каждом открытии файла WMF. Первоначальная цель этого заключалась в том, чтобы справиться с отменой задания на печать в течение намотка.

В соответствии с Secunia, "Уязвимость вызвана ошибкой при обработке файлов метафайлов Windows ('.wmf'), содержащих специально созданные SETABORTPROC Записи о побеге. Такие записи позволяют выполнять произвольную пользовательскую функцию при сбое визуализации файла WMF ». Согласно документации Windows 3.1 SDK, SETABORTPROC escape был устаревшим и заменен одноименной функцией в Windows 3.1, задолго до того, как была обнаружена уязвимость WMF. Однако устаревший escape-код был сохранен для совместимости с 16-битными программами, написанными для (или, по крайней мере, обратно совместимыми с) Windows 3.0. Это изменение произошло примерно в то же время, когда Microsoft создавала 32-битную повторную реализацию GDI для Windows NT, и вполне вероятно, что уязвимость возникла во время этой попытки.

Рассматриваемый механизм «Escape» позволяет приложениям (не метафайлам) получать доступ к функциям устройства вывода, которые еще не абстрагированы GDI, например, с аппаратным ускорением Кривые Безье, поддержка инкапсулированного постскрипта и т. д. Это достигается путем передачи кода операции, размера и указателя на некоторые данные в вызов, который обычно просто передает их драйверу. Поскольку большинство вызовов Escape создают фактическую графику, общий механизм escape разрешен в метафайлах, при этом изначально мало внимания уделялось возможности его использования для таких вещей, как SETABORTPROC, современные неуязвимые интерпретаторы метафайлов теперь проверяют код операции по черному или белому списку, сохраняя полный набор кодов операций, доступных для обычного кода, который напрямую вызывает escape-функции GDI (поскольку такой код уже работает так же, как и код, который он мог бы вызвать GDI, в этом случае нет угрозы безопасности).

Стоит отметить, что 16-битная Windows (за исключением редко используемого реального режима Windows 3.0) была защищена от уязвимости, поскольку указатель, указанный в метафайле, может указывать только на данные внутри метафайла, а 16-битная Windows всегда полностью не имела принудительное исполнение данных, требуемое сегментированной архитектурой 16-битного защищенного режима. Требуется Windows NT для архитектур ЦП, отличных от 32-разрядной x86 (например, MIPS, PowerPC, Alpha, Itanium и x86_64) возвратно-ориентированное программирование использовать, потому что в этих архитектурах отсутствовала функция запрета на выполнение, отсутствующая в старых процессорах x86.

Уязвимость CVE -2005-4560 в Распространенные уязвимости и подверженности база данных, US-CERT ссылка VU № 181038 и статья базы знаний Microsoft 912840. Впервые он был замечен в дикой природе исследователями из Программное обеспечение Sunbelt 28 декабря 2005 г. и публично объявлено президентом компании Алекс Экельберри.[6][7]

Размножение и заражение

Компьютеры могут пострадать от распространения зараженных электронная почта которые содержат взломанный файл WMF как вложение. Инфекция также может возникнуть в результате:

Другие методы также могут использоваться для распространения инфекции. Поскольку проблема заключается в операционной системе, при использовании браузеров сторонних производителей, таких как Fire Fox или же Опера не обеспечивает полную защиту. Обычно пользователям предлагается загрузить и просмотреть вредоносный файл, заражающий компьютер. Зараженные файлы могут быть загружается автоматически, что открывает возможность заражения путем индексации диска или случайного предварительного просмотра.

По оценкам McAfee антивирусная компания,[3] уязвимость была использована для распространения Bifrost задняя дверь троянский конь. Другие формы вредоносное ПО также использовали уязвимость для доставки различных вредоносных полезные нагрузки.

McAfee утверждает, что к 31 декабря 2005 года с первым поколением таких эксплойтов столкнулись более 6% их клиентской базы.

Официальный патч

Microsoft выпустил официальный пластырь для решения проблемы 5 января 2006 г.[8] Этот патч может применяться вместо других корректирующих мер.

Официальный патч доступен для Windows 2000, Windows XP и Microsoft Windows Server 2003. Windows NT 4 и другие старые операционные системы не получили исправления, поскольку к тому времени они больше не поддерживались Microsoft. Стив Гибсон заявил в своем Безопасность сейчас! подкаст # 20, что его компания Gibson Research Corporation сделает патч доступным для Windows 9x системы, если Microsoft этого не сделала.[9] После дальнейших исследований Стив Гибсон позже заявил, что Безопасность сейчас! подкаст №23, что Windows 9x и ME не уязвимы и не нуждаются в исправлении.[10] Пользователи Windows 9x / ME могут запустить его утилиту Mouse Trap, чтобы убедиться в этом сами.

Бесплатный загружаемый патч для Windows NT [11] предоставлен Паоло Монти из Future Time, итальянского дистрибьютора Eset с NOD32 антивирус система. Патч работает в старых операционных системах, но поставляется без гарантии.

Поступали сообщения об автоматической установке официального патча, даже если автоматическое обновление Windows настроено так, чтобы запрашивать перед установкой автоматически загружаемых обновлений. Это вызывает автоматический перезагрузка, что может привести к потере данных, если у пользователя открыта программа с несохраненными изменениями.[4]

Прочие корректирующие меры

Эти меры представляют исторический интерес только для систем, обновленных 5 января 2006 г. или позднее.

Обходной путь

Как обходной путь до того, как патч был доступен,[5] 28 декабря 2005 г. Microsoft посоветовала пользователям Windows отменить регистрацию библиотека с динамической компоновкой файл shimgvw.dll (что можно сделать, выполнив команду regsvr32.exe / u shimgvw.dll из меню "Выполнить" или командная строка ), который вызывает предварительный просмотр файлов изображений и используется в большинстве этих атак. DLL можно перерегистрировать после исправления, запустив regsvr32.exe shimgvw.dll. Этот обходной путь блокирует общий вектор атаки, но не устраняет уязвимость.

Сторонний патч

А третья сторона пластырь[6] был выпущен Ильфак Гильфанов 31 декабря 2005 г., чтобы временно отключить уязвимые функция вызовите gdi32.dll. Этот неофициальный патч получил много гласность из-за отсутствия официального от Microsoft, получив рекомендацию Институт SANS Internet Storm Center[7] и F-Secure.[8] Из-за большой огласки, в том числе косвенной с косой чертой,[9] Веб-сайт Гильфанова получил больше посетителей, чем мог вместить, и был заблокирован 3 января 2006 года; патч все еще был доступен для загрузки из ряда зеркала включая веб-сайт Internet Storm Center.[10]

Сайт Гильфанова снова заработал 4 января в сильно урезанном состоянии. Патч больше не предоставляется на месте из-за пропускная способность вопросы, домашняя страница предоставил список зеркал, с которых пользователь мог загрузить исправление и связанную с ним программу проверки уязвимостей, а также MD5 контрольная сумма для файла, чтобы можно было проверить подлинность загруженного файла.

После того, как Microsoft выпустила свой патч, Гильфанов отозвал свой.

Методы снижения риска

Microsoft заявляет, что ее патч устраняет некорректную функциональность в GDI32, которая допускала уязвимость WMF. Для компьютеров под управлением неустановленной версии Windows глубокая защита был рекомендован подход, чтобы снизить риск заражения. Различные источники рекомендуют меры по смягчению последствий, которые включают:

  • Использование аппаратного обеспечения Предотвращение выполнения данных[11] эффективен для всех приложений.
  • Установите приложение WMF по умолчанию, чтобы оно не было подвержено заражению, например Блокнот.
  • Не используйте Internet Explorer или, по крайней мере, отключите загрузки, установив для параметров безопасности по умолчанию высокий.
  • Сохранить все антивирусное программное обеспечение своевременно. Рассмотрите возможность частого обновления вручную.
  • Заблокируйте все файлы WMF на периметре сети с помощью фильтрации заголовков файлов.
  • Использование учетных записей пользователей, настроенных только с необходимыми правами пользователя.
  • Отключите загрузку изображений в Internet Explorer и во всех других браузерах.[12]
  • Отключить загрузку изображений в Outlook Express.[13]
  • Отключите гиперссылки в MSN Messenger.
  • Отключить службу индексирования на Windows 2000, Windows XP и Windows Server 2003.
  • Отключите приложения Desktop Search, такие как Google Desktop или же Поиск на рабочем столе Windows пока проблема не будет исправлена.

Согласно статье SANS Institute Internet Storm Center, при использовании веб-браузера, отличного от Internet Explorer май предлагают дополнительную защиту от этой уязвимости.[12] В зависимости от настроек эти браузеры могут запрашивать пользователя перед открытием изображения с расширением .wmf, но это только снижает вероятность открытия вредоносного метафайла Windows и не защищает от эксплуатируемой уязвимости, поскольку эти браузеры по-прежнему открывают метафайл. если он маскируется под другой формат. Лучше полностью отключить загрузку изображений в любом используемом браузере.

Обвинения

В 2006 г. Стив Гибсон предположил, что особый характер "ошибки" был признаком того, что уязвимость на самом деле задняя дверь намеренно встроен в систему.[13] Обвинение стало утверждением и распространилось по Интернету как слух после того, как сайт технологических новостей Slashdot подхватил предположение Гибсона.[13] Слух был широко опровергнут[14][15] и Томас Грин, пишущий на Реестр, объяснил ошибку Гибсона «отсутствием у него опыта в области безопасности» и назвал его «экспертом по попинджей».[13]

Примечания

  1. ^ На страже безопасности: зловещие изображения ставят под угрозу Интернет!, Ларри Зельцер, PC Magazine.
  2. ^ Описание функции предварительного просмотра изображений в Windows Millennium Edition, Microsoft.
  3. ^ sunbeltblog.blogspot.com Microsoft проясняет проблему DEP
  4. ^ Библиотека для операционных систем, отличных от Windows для запуска файлов WMF.
  5. ^ Linux / BSD по-прежнему подвержены эксплойту WMF через WINE, ZDNet.
  6. ^ Это не ошибка, это особенность, F-Secure.
  7. ^ Эксплойт-WMF, McAfee
  8. ^ Рекомендации Microsoft по безопасности (912840) - Уязвимость в механизме рендеринга графики делает возможным удаленное выполнение кода, Официальное сообщение Microsoft по уязвимости.
  9. ^ http://www.hexblog.com/2005/12/wmf_vuln.html, неофициальный патч от Ильфака Гильфанова.
  10. ^ Надежные вычисления, Центр Интернет-шторма Института SANS.
  11. ^ Ильфак спешит на помощь!, F-Secure.
  12. ^ Надежные вычисления, Slashdot. Ссылка на статью Internet Storm Center Института SANS под названием Надежные вычисления (см. Выше).
  13. ^ Доступен установочный файл .MSI для ошибки WMF, Центр Интернет-шторма Института SANS.
  14. ^ Как настроить защиту памяти в Windows XP SP2, программная функция предотвращения выполнения данных (DEP) в Microsoft Windows XP SP 2.
  15. ^ Как повысить производительность просмотра в Internet Explorer (KB153790), Microsoft.
  16. ^ Изображения блокируются при открытии сообщения электронной почты в Outlook Express на компьютере под управлением Windows XP с пакетом обновления 2 (KB843018), Microsoft.
  17. ^ http://www.nod32.ch/en/download/tools.php Неофициальный патч WMF Паоло Монти, распространяемый ESET.
  18. ^ http://blogs.securiteam.com/index.php/archives/210 Неофициальный патч для Windows 98SE от Тома Уолша.

Рекомендации

  1. ^ «Microsoft выпускает обновление для системы безопасности, чтобы исправить уязвимость в Windows», PressPass, Microsoft, 5 января 2006 г., архивировано с оригинал 18 января 2006 г.
  2. ^ а б «Бюллетень по безопасности Microsoft MS06-001 - Критический». TechNet. Microsoft. 5 января 2006 г.. Получено 12 ноября 2020.
  3. ^ а б c Гибсон, Стив (19 января 2006 г.). "M.I.C.E .: выполнение кода метафайлового изображения". Gibson Research Corporation. Получено 12 ноября 2020.
  4. ^ Экельберри, Алекс (31 декабря 2005 г.). «Microsoft проясняет проблему DEP». Блог GFI. Программное обеспечение GFI. Отсутствует или пусто | url = (помощь)
  5. ^ Гибсон, Стив; Ляпорт, Лео (4 мая 2013 г.). "Ловушка для мыши GRC". Безопасность сейчас!. Получено 12 ноября 2020.
  6. ^ http://www.sans.org/reading_room/whitepapers/honors/de December-storm-wmf-preparation-identification-containment-exploits_1666
  7. ^ «Новые эксплойты поражают полностью исправленные системы Windows XP». 2005-12-28.
  8. ^ «Техническая документация, API и примеры кода».
  9. ^ "GRC | Безопасность сейчас! Расшифровка эпизода # 20".
  10. ^ "GRC | Безопасность сейчас! Стенограмма эпизода # 23".
  11. ^ Загружаемый патч для Windows NT от Паоло Монти
  12. ^ Францен, Сва, "WMF FAQ", Дневник обработчиков InfoSec, Центр Интернет-шторма Института SANS
  13. ^ а б c Грин, Томас К. (21 января 2006 г.). "Слух о задних дверях окон - чушь". Реестр. Situation Publishing Ltd. Получено 7 ноября, 2013.
  14. ^ Стивен Тулуза из Microsoft Security Response Center. 13 января 2006 г. Если посмотреть на проблему с WMF, как она туда попала?
  15. ^ Отто Хельвег для блога Марка Руссиновича. 18 января 2006 г. Внутри бэкдора WMF

внешняя ссылка