Uoffisiell fiks til Windows-sårbarhet

I påvente av at Microsoft skal få ut en sikkerhetsfiks til WMF-sårbarheten, er det kommet en alternativ løsning.

Det danske sikkerhetsselskapet CSIS rapporterer om en sikkerhetsfiks til Windows 2000 og nyere, som skal kunne lukke sikkerhetshullet i Windows knyttet til .WMF-filer som ble kjent i romjulen. Det spesielle med sikkerhetsfiksen er at den ikke er utgitt av Microsoft, men av Ilfak Guilfanov, mest kjent for verktøyet Interactive Disassembler Pro.

Man bør selvfølgelig være ytterst forsiktig med å installere oppdateringer til operativsystemer som ikke er utgitt av leverandøren av systemet. En slik løsning er nødvendigvis dårligere testet enn det leverandøren vil kunne gjøre. Dessuten vil det alltid være en fare for at fiksen også inneholder uønsket kode, slik at den i praksis er en form for trojansk hest - i hvert fall hvis utgiveren av fiksen ikke er anerkjent som en seriøs aktør.

I tilfellet med .WMF vil det ennå gå minst åtte dager før Microsoft gir ut en fiks. Selskapet gir ut sikkerhetsfikser den andre tirsdagen i hver måned. Men selskapet bruker gjerne lang tid på utvikling og testing av slike fikser, så det er ikke gitt at utgivelsen vil komme allerede denne måneden. Windows-brukerne står derfor uten en fullgod løsning. Derfor kan løsningen til Guilfanov være et alternativ for brukere med ekstreme behov.

CSIS oppgir at selskapet har testet fiksen fra Guilfanov uten å konstatere problemer av noe slag. Selskapet mener at Microsoft vil løse problemet på samme måte som det Guilfanov har gjort.

Ifølge CSIS leter fiksen etter et ”entrypoint” i GDI32s ESCAPE-funksjon. Hvis en spesiell sekvens av bytes er til stede, vil programmet dynamisk rette ESCAPE-funksjon med et hopp til en ny "stub" som undersøker om ESCAPE-funksjonen som kalles er "SetAbort" (subfunksjon nummer 9). Hvis dette er tilfellet, returneres det opprinnelige kallet. Alle andre funksjoner emulerer den erstattede kode når denne vender tilbake til ESCAPE-håndteringen. Rettelsen modifiserer altså komponenten gdi32.dll, slik at håndteringen av "SetAbortProc" ikke ukritisk gir mulighet at kode sendes ukritisk ut i systemets hukommelse. I praksis betyr dette at støtten for SETABORT escape fjernes fra gdi32.dll, en funksjon som CSIS har vanskeligheter med å finne legitim bruk av.

Guilfanov har publisert fiksen og mer informasjon på denne siden. Det er også kommet inn en rekke kommentarer til informasjonen.

Samtidig rapporteres det om at en rekke websider misbruker sårbarheten til å kjøre spionvare og annen skadelig kode på systemer som lokkes til å besøke siden. CSIS forteller i en pressemelding at selskapet også har sett at sårbarheten er blitt utnyttet via e-post og lynmeldinger. Sårbarheten, som er knyttet håndteringen av Windows Metafile-bilder, kan finnes i Windows-versjoner helt tilbake til Windows 3.0. Sårbarheten åpner for kjøring av vilkårlig kode og kan gi en angriper full kontroll over et sårbart system.

WMF-formatet er et et 16-bits metafilformat som kan inneholde både vektorinformasjon og punktgrafikkinformasjon.

Ifølge eWeek hadde AV-Test.org på nyttårsaften registrert 73 forskjellige varianter av ondsinnede WMF-filer. En rekke antivirusløsninger, inkludert de fra Alwil, F-Secure, McAfee, Panda, Sophos, Symantec og Trend Micro, greide da å identifisere alle.

Listen over antivirusløsninger som ikke kunne identifisere alle, var dog lenger. Nederst befant løsningen fra Norman seg, som ikke kunne identifisere noen av de ondsinnede WMF-filene. Dette har nok likevel endret seg, for samme dag som oversikten ble publisert, skriver Norman at selskapet har utgitt en oppdatering til brukerne av selskapets antivirusløsninger, som inkluderer en ny skannermotor som generisk skal kunne detektere alle former for ondsinnet programvare som utnytter WMF-sårbarheten.

Norman beskriver også trojanere som går under det generelle navnet WMF/Exploit.B eller W32/Exploit.gen, som utnytter sårbarheten. Disse spres blant annet i e-post og kan godt ha andre filnavnendelser enn WMF. JPG er blant de som brukes, noe som gjør det lett å narre mottakerne til å tro at dette er en helt vanlig og uskyldig bildefil.

Til toppen