Cerca nel blog

2006/01/04

Falla WMF, il rischio aumenta: come rimediare

Questo articolo vi arriva grazie alle gentili donazioni di "webmaster", "zappa" e "krees".
L'articolo è stato aggiornato rispetto alla sua prima stesura.

La vulnerabilità che consente di attaccare un computer Windows semplicemente mandandogli un'immagine appositamente confezionata nel formato WMF oppure inducendo l'utente a visitare un sito contenente una di queste immagini sta dilagando: sono sempre più numerosi i siti-trappola che la sfruttano, c'è una versione che viaggia via e-mail, una versione che si diffonde tramite MSN Messenger e c'è persino un kit che consente a qualsiasi dilettante di confezionare attacchi basati su questa falla di Windows.

È praticamente impossibile filtrare questo tipo di attacco bloccando le immagini in formato WMF al firewall aziendale o con un antivirus, perché il codice dell'attacco è dissimulabile in mille modi differenti (rendendo impossibile il riconoscimento tradizionale degli antivirus) e la trappola funziona anche se l'estensione data all'immagine non è WMF: potreste ricevere un'immagine di nome "buon anno.jpg" e pensare che sia sicura, mentre in realtà è in formato WMF, e Windows la aprirebbe e la eseguirebbe. Quindi è inutile pensare "non apro i file WMF": potreste aprirli senza saperlo.

In pratica, qualsiasi immagine è a rischio, e questo significa che per un utente Windows, qualsiasi immagine allegata e qualsiasi sito Web contenente immagini sono a rischio. Anche i siti "fidati" possono infatti contenere immagini pubblicate da aggressori. Per esempio, una pagina di un blog, di un forum o di Flickr, o un'inserzione su eBay , in pratica qualsiasi sito nel quale chiunque può pubblicare un'immagine, potrebbe includere un'immagine WMF ostile: e in tal caso basta visitarla con Windows per infettarsi.

Microsoft dice che non rilascerà una patch di correzione prima del 9 gennaio. Chiunque abbia un computer Windows, in sostanza, per cinque giorni non dovrebbe affacciarlo a Internet.

Anche la soluzione provvisoria, descritta in un mio articolo precedente, è efficace soltanto in parte: alcuni programmi, come Lotus Notes, restano vulnerabili anche dopo aver disattivato il componente di Windows fallato che consente l'attacco con immagini WMF.

La situazione è ritenuta talmente grave che organizzazioni autorevoli come il SANS Institute e F-Secure hanno preso la decisione senza precedenti di consigliare agli utenti di installare una patch di Windows non ufficiale oltre a disattivare il componente di Windows fallato. La patch è stata preparata da Ilfak Guilfanov e altri, ed è stata verificata dal SANS Institute, che la mette a disposizione qui.

La patch di Guilfanov è reversibile e potrà quindi essere disinstallata quando Microsoft pubblicherà la correzione ufficiale.

Questa falla WMF è, secondo F-Secure, la vulnerabilità più estesa mai verificatasi. Ne sono interessati tutti i computer Windows, sin dalla versione 3.0, con o senza aggiornamenti di sicurezza: centinaia di milioni di computer.

La cosa ironica è che la falla non è dovuta a un errore di programmazione di Microsoft, ma a una scelta tecnica ben precisa e intenzionale dell'azienda di zio Bill: quando introdusse il formato WMF, negli anni Ottanta, Microsoft ritenne necessario consentire a un'immagine di includere codice eseguibile, in modo da poterne interrompere la stampa durante lo spooling (l'invio alla coda di stampa). A nessuno, in casa Microsoft, venne in mente che un aggressore avrebbe potuto sfruttare questa "funzione" per causare danni.

Questo è quello che i critici di Windows intendono quando parlano di un sistema operativo progettato male e senza considerare seriamente la sicurezza. La falla è rimasta in Windows per una quindicina d'anni, nonostante tutte le strombazzate iniziative di "Trustworthy Computing" ("Informatica degna di fiducia"), e non è stata Microsoft a scoprirla.

Riassumendo, ecco come contenere il rischio:
  • Non usate Internet Explorer, ma sostituitelo con Firefox o Opera, che vi avvisano se aprite un file WMF.
  • Non usate programmi di posta che visualizzano automaticamente le immagini.
  • Disattivate il componente fallato (SHIMGVW.DLL): al prompt dei comandi (Start > Esegui), digitate REGSVR32 /U SHIMGVW.DLL e riavviate Windows.
  • Attivate la funzione DEP (Data Execution Protection) su tutti i programmi.
  • Disattivate Google Desktop, se lo usate.
  • Usate la patch di sicurezza non ufficiale.
  • Installate la patch Microsoft appena viene resa disponibile.

Le ragioni di queste misure di contenimento, e le procedure per riattivare il componente fallato, sono descritte nel mio primo articolo sul tema.

Vi prego, non sommergetemi di richieste di assistenza: voi siete tanti, e io sono uno solo. Ho già scritto qui tutto quello che so. Chiedete ad amici e colleghi, interpellate il responsabile aziendale della sicurezza, rivolgetevi a un negozio d'informatica che offra assistenza tecnica, e consultate Microsoft e la casa produttrice del vostro computer, visto che l'assistenza tecnica è inclusa nel prezzo di acquisto di Windows.

Se vi state chiedendo che cosa sto facendo io per evitare le infezioni prodotte da questa falla, la risposta è semplice. Uso un Mac e il mio sito gira su una macchina Linux.

Ciao da Paolo.

Nessun commento: