Cerca nel blog

2006/01/04

Falla WMF, il rischio aumenta: come rimediare

Questo articolo vi arriva grazie alle gentili donazioni di "webmaster", "zappa" e "krees".
L'articolo è stato aggiornato rispetto alla sua prima stesura.

La vulnerabilità che consente di attaccare un computer Windows semplicemente mandandogli un'immagine appositamente confezionata nel formato WMF oppure inducendo l'utente a visitare un sito contenente una di queste immagini sta dilagando: sono sempre più numerosi i siti-trappola che la sfruttano, c'è una versione che viaggia via e-mail, una versione che si diffonde tramite MSN Messenger e c'è persino un kit che consente a qualsiasi dilettante di confezionare attacchi basati su questa falla di Windows.

È praticamente impossibile filtrare questo tipo di attacco bloccando le immagini in formato WMF al firewall aziendale o con un antivirus, perché il codice dell'attacco è dissimulabile in mille modi differenti (rendendo impossibile il riconoscimento tradizionale degli antivirus) e la trappola funziona anche se l'estensione data all'immagine non è WMF: potreste ricevere un'immagine di nome "buon anno.jpg" e pensare che sia sicura, mentre in realtà è in formato WMF, e Windows la aprirebbe e la eseguirebbe. Quindi è inutile pensare "non apro i file WMF": potreste aprirli senza saperlo.

In pratica, qualsiasi immagine è a rischio, e questo significa che per un utente Windows, qualsiasi immagine allegata e qualsiasi sito Web contenente immagini sono a rischio. Anche i siti "fidati" possono infatti contenere immagini pubblicate da aggressori. Per esempio, una pagina di un blog, di un forum o di Flickr, o un'inserzione su eBay , in pratica qualsiasi sito nel quale chiunque può pubblicare un'immagine, potrebbe includere un'immagine WMF ostile: e in tal caso basta visitarla con Windows per infettarsi.

Microsoft dice che non rilascerà una patch di correzione prima del 9 gennaio. Chiunque abbia un computer Windows, in sostanza, per cinque giorni non dovrebbe affacciarlo a Internet.

Anche la soluzione provvisoria, descritta in un mio articolo precedente, è efficace soltanto in parte: alcuni programmi, come Lotus Notes, restano vulnerabili anche dopo aver disattivato il componente di Windows fallato che consente l'attacco con immagini WMF.

La situazione è ritenuta talmente grave che organizzazioni autorevoli come il SANS Institute e F-Secure hanno preso la decisione senza precedenti di consigliare agli utenti di installare una patch di Windows non ufficiale oltre a disattivare il componente di Windows fallato. La patch è stata preparata da Ilfak Guilfanov e altri, ed è stata verificata dal SANS Institute, che la mette a disposizione qui.

La patch di Guilfanov è reversibile e potrà quindi essere disinstallata quando Microsoft pubblicherà la correzione ufficiale.

Questa falla WMF è, secondo F-Secure, la vulnerabilità più estesa mai verificatasi. Ne sono interessati tutti i computer Windows, sin dalla versione 3.0, con o senza aggiornamenti di sicurezza: centinaia di milioni di computer.

La cosa ironica è che la falla non è dovuta a un errore di programmazione di Microsoft, ma a una scelta tecnica ben precisa e intenzionale dell'azienda di zio Bill: quando introdusse il formato WMF, negli anni Ottanta, Microsoft ritenne necessario consentire a un'immagine di includere codice eseguibile, in modo da poterne interrompere la stampa durante lo spooling (l'invio alla coda di stampa). A nessuno, in casa Microsoft, venne in mente che un aggressore avrebbe potuto sfruttare questa "funzione" per causare danni.

Questo è quello che i critici di Windows intendono quando parlano di un sistema operativo progettato male e senza considerare seriamente la sicurezza. La falla è rimasta in Windows per una quindicina d'anni, nonostante tutte le strombazzate iniziative di "Trustworthy Computing" ("Informatica degna di fiducia"), e non è stata Microsoft a scoprirla.

Riassumendo, ecco come contenere il rischio:
  • Non usate Internet Explorer, ma sostituitelo con Firefox o Opera, che vi avvisano se aprite un file WMF.
  • Non usate programmi di posta che visualizzano automaticamente le immagini.
  • Disattivate il componente fallato (SHIMGVW.DLL): al prompt dei comandi (Start > Esegui), digitate REGSVR32 /U SHIMGVW.DLL e riavviate Windows.
  • Attivate la funzione DEP (Data Execution Protection) su tutti i programmi.
  • Disattivate Google Desktop, se lo usate.
  • Usate la patch di sicurezza non ufficiale.
  • Installate la patch Microsoft appena viene resa disponibile.

Le ragioni di queste misure di contenimento, e le procedure per riattivare il componente fallato, sono descritte nel mio primo articolo sul tema.

Vi prego, non sommergetemi di richieste di assistenza: voi siete tanti, e io sono uno solo. Ho già scritto qui tutto quello che so. Chiedete ad amici e colleghi, interpellate il responsabile aziendale della sicurezza, rivolgetevi a un negozio d'informatica che offra assistenza tecnica, e consultate Microsoft e la casa produttrice del vostro computer, visto che l'assistenza tecnica è inclusa nel prezzo di acquisto di Windows.

Se vi state chiedendo che cosa sto facendo io per evitare le infezioni prodotte da questa falla, la risposta è semplice. Uso un Mac e il mio sito gira su una macchina Linux.

Ciao da Paolo.

25 commenti:

Luca ha detto...

Non so se sono io ad essere strano, ma facendo Start > Esegui > REGSVR32 /U SHIMGVW.DLL mi veniva restituita la finestra con cui Windows avvisa che non sa con che programma aprire REGSVR32..

Digitando il comando dalla prompt di Dos, invece pare funzionare..

Max ha detto...

Domanda un po' OT... Ma il tuo blog ha i feed RSS, atom o che altro????
Saluto e grazie di tutto
Max

Luca2 ha detto...

c volevi te eheheh sui siti d mp3 gratis si trovano a bizzeffe i WMF se li volete scaricare fate pure hahahah

armando ha detto...

la cosa comica è che nell'articolo dove si consiglia di non usare la google toolbar, a destra c'è l'advise che dice "usa firefox con google toolbar!" LOL

Anonimo ha detto...

mi pare consigli di disattivare google desktop, non google toolbar.

Darmar ha detto...

Giusto per informazione Lotus Notes non sembra al momento vulnerabile, anche se ibm stà ancora indagando.

http://www.nist.org/nist_plugins/content/content.php?content.25

http://www-1.ibm.com/support/docview.wss?rs=475&context=SSKTWP&context=SSKTMJ&dc%C3%9B520&uid=swg21227004&loc=en_US&cs=utf-8%E2%8C%A9=en

Gacattos ha detto...

Per Armando
Google desktop è una cosa DIVERSA da Google toolbar.

Per Paolo
Credo la cosa più importante sia di conoscere la data del rilascio della patch da parte della Microsoft.
Sto usando WinXP-Sp.2 e gli aggiornamenti avverranno in modo automatico, lo dico per coloro i quali dovranno eseguirli manualmente;
una bella email da parte tua di avviso non farebbe male credo.
A proposito di aggiornamenti.......
Ma se qualcuno pistolasse qualcosa tipo un pharming.......sarebbe il virus perfetto.
Scherzi a parte quanto è sicura la connessione agli aggiornamenti Microsoft ???

Angelo F. ha detto...

Salve.
Mi sono imbattuto in questo problema un paio di volte gia e credo di aver trovato un modo per limitare il problema fin quando lo zio billy non rilascerà la patch ufficiale.
In realtà non ho scoperto nulla di eccezionale e a dire il vero la scoperta è stata casuale.
Andiamo con ordine.
Il file che di solito viene aperto in automatico è il file xpl.wmf.
Questo file a sua volta scarica un altro file che permette l'installazione di porcherie varie.
Tutto sta a trovare il modo di non consentire al file wmf di scaricare nessun altro programma maligno e infettare il pc.
Ebbene un modo c'è.
Avere installato DAP (Download Accelerator Plus) e utilizzare l'opzione che permette al momento del download di scegliene il tipo: REGULAR o ACCELERED.
Il file verrà WMF verra si caricato in automatico ma non potrà fare il download di nessun altro programma.
Significa che non ci troveremo nessuno spyware o malware o virus nel pc.
Ma tuttalpiu un qualche file che tenterà il download del vero virus ma che sarà piu semplice da rimuovere del virus vero.

Ertagus ha detto...

Rispondo a max...
http://attivissimo.blogspot.com/atom.xml

Andrea Sacchini ha detto...

Paolo: "Uso un Mac, e il mio sito gira su una macchina Linux". Fantastico! Forse, chissà, verrà un giorno in cui anche i sistemi operativi unix/like avranno tutti i problemi che affliggono attualmente le macchine Windows, ma fino a quel momento godiamoci la nostra meritata tranquillità informatica. Viva Linux! Viva il software libero!

Giovanna ha detto...

PRINCIPIANTE
Scusate, ma se disabilito quel file SHIMGVW.DLL il 9 gennaio come dovrò fare per rimettere le cose a posto? Grazie.
E se invece mi limito ad usare solo ed esclusivamente Firefox e a non scaricare nessun file WMF posso sentirmi sufficiente mente tranquilla?

Giacomo ha detto...

Disattivare Google Desktop? Perché?

Anonimo ha detto...

Per andrea sacchini: forse quel giorno non arriverà perchè i sistemi unix like sono progettati meglio?

Akagi ha detto...

o forse perche' i lamer non cercano dei virus (worm, o trojan che siano) per linux, dato che la loro architettura e' piu' complicata e sono semplicemente piu' difficili da trovare?
O forse perche' Linux lascia che sia l'admin stesso che lo distrugga se non sa come si usa.

Fino a quando i topi di fogna informatici non verranno a guastarci il divertimento anche a noi, pochissimi utenti unix useranno antivirus perche' penseranno come l'anonimo che risponde ad andrea.

Marzacas ha detto...

Usando firefox per ora non ho avuto nessun problema, mi chiedeva se volevo scaricare dei file wmf, ma ho semplicemente detto no.... motivo in più per togliere IE e OE

Nicolò ha detto...

Ciao Paolo,
ho seguto la tua notizia con attenzione fin dal tuo primo post.
Oggi mi è capitato però di prendere un'infezione usando Firefox 1.5.
Avevo letto che Firefox 1.5 associa erroneamente il wmf a windows media player.
Di colpo nel mio pc ho visto aprirsi media player e poi il caos.
Ora sto rimediando, però mi premeva segnalare che io ho preso l'infezione usando Firefox: forse dovevo fare alcune impostazioni particolari. Se puoi, scrivine.
Grazie

Anonimo ha detto...

Sintomi?
Come avviene l'infezione? Voglio dire, che messaggio compare? Ci si infetta senza accorgersene o c'è modo di capirlo mentre avviene? Se si ha un antivirus e spybot aggiornato, si rischia lo stesso? Il wmf malevolo viene "bloccato"? Grazie a chi mi risponderà, ma soprattutto grazie a Paolo che è sempre "sul pezzo" :-).

SpH1nX ha detto...

Ciao a tutti.
Ho provato ad auto-infettarmi usando il kit indicato da Paolo.

Ho creato l'immagine wmf, ho scelto il payload ed ho disabilitato NOD32 (che già riconosceva l'exploit).
Firefox 1.5 visualizzava l'immagine come testo e non subiva danni.
Internet Explorer 6.0 (SP2) bloccava il download perchè ritenuto insicuro e visualizzava la nota barra gialla.
Procedendo manualmente con il download sono riuscito a salvare l'immagine sul desktop.
Adesso arriva la parte inaspettata motivo di questo mio post.
Aprendo l'immagine con il visualizzatore immagini e fax di windows si ottiene il seguente avviso:

Visualizza immagine avviso

Cambiando il payload, cambia il nome dell'applicazione indicata ma il risultato è il medesimo.

Aprendo l'immagine con IrfanView si avvia la calcolatrice (come previsto dai settaggi del payload che ho scelto).

Spero che queste mie "scoperte" vi siano utili.

Un saluto a tutti e tanti auguri in ritardo.

danjar ha detto...

MIRRORING "artigianale" dell'hotfix
Visto che ho incontrato non poche difficoltà a scaricare gli hotfix (immagino per il grande traffico) provo a mettere a disposizione un mini-mirroring su geocities:
wmffix_hexblog14.exe (262 kB, zippato)
wmfhotfix-1.1.14.msi (48 kB, zippato)

MD5
wmffix_hexblog14.exe 15f0a36ea33f39c1bcf5a98e51d4f4f6

wmfhotfix-1.1.14.msi 0dd56dac6b932ee7abf2d65ec34c5bec

Naturalmente, prima di utilizzarli, verificate gli md5 sul sito di Ilfak Guilfanov[1]!

[1] Il sito ha cambiato IP, quindi potrebbe non essere raggiungibile attraverso l'URL se il vostro server DNS non è aggiornato (vedi spiegone del SANS Institute). Il link in questo post comunque punta direttamente all'IP e quindi funziona.

Anonimo ha detto...

come si riattiva SHIMGVW.DLL? E' possibile riattivarlo? Quando sarà possibile farlo?
Grazie

ps: scusate l'ignoranza

Anonimo ha detto...

Il setup di WMFHotfix-1.4.msi si ferma a 3/4 della progress bar e non va più avanti... è normale?

Fabiuz ha detto...

Io sto utilizzando un portatile compaq con win98se e firefox, nn ho il visualizzatore di immagini\fax di win installato, e per ora il problema pare nn xreare problemi su questa config, sul desktop con xp sp2 temò dovrò reinstallare win visto che mi si riavvia in automatico sopprattutto se dopo qlc. minuto che parte la scansione dell'antivirus. per ora uso 98.
Ciaooooo

Paolo Attivissimo ha detto...

Risposte un po' per tutti:

Giovanna: Per rimettere le cose a posto col file SHIMGVW.DLL, dai il comando indicato nell'altro mio articolo sul tema. No, usare Firefox di per sé non basta, e non c'é modo di evitare di scaricare file WMF, visto che ti possono essere inviati anche con altre estensioni, spacciandosi per esempio per documenti Word.

Gacattos: la data annunciata per la patch Microsoft è il 10 gennaio. Avviserò senz'altro quando esce.

Nicolò: Firefox 1.5 ti ha avvisato prima di aprire il file WMF?

Anonymous: i sintomi cambiano a seconda del tipo di attacco. In alcuni casi viene installato dello spyware, per esempio.

Sphinx: l'avviso ti è comparso, credo, perché hai saggiamente attivato la funzione DEP del Service Pack 2 (ne parlo nel mio libro L'Acchiappavirus, scaricabile dal mio sito).

Ciao da Paolo.

Anonimo ha detto...

mentre aprivo ie mi è apparso un msg che diceva
errore sconosciuto nello script della pagina
url res://c:\windows\sistem32\shdoclc.dll/preview.dlg
continuare ad esiguire lo script?
io ho detto di no
ma basta o vuol dire che qualunque cosa sia sono stata infettata comunque?
grazie
Elisabetta

SpH1nX ha detto...

Ciao a tutti,
scrivo di nuovo per indicare che sul mio pc desktop la calcolatrice (payload selezionato) si avvia regolarmente sebbene il DEP sia abilitato ma non supportato a livello hw dalla CPU.
La funzione DEP non dovrebbe essere emulata via SW ma comunque presente ed attiva?

Approfitto di questo spazio per dire al ragazzo che mi aveva scritto riguardo al kit che ho accidentalmente eliminato la sua email.
Spero legga questo mio post e mi scriva nuovamente.
Scusate l'abuso.
Tanti saluti.