Rischi sempre maggiori per la vulnerabilità WMF

Il bug interessa ormai tutte le versioni di Windows. Le possibili soluzioni

Trascorrono i giorni ed il problema diventa sempre più critico. La vulnerabilità
di sicurezza, inizialmente confermata solo su sistemi Windows XP e Windows Server
2003, interessa però – a livelli diversi – tutte le versioni di Windows
e riguarda la gestione dei file in formato WMF (Windows Metafile),
sempre più bersaglio di pericolosi exploit.

Il codice di molti exploit è stato reso pubblico sul web facilitando
così enormemente lo sviluppo di innumerevoli malware. L’ultima novità,
ad esempio, è la diffusione di un worm che sfrutta proprio la vulnerabilità
WMF di Windows: si diffonde attraverso la posta elettronica utilizzando l’oggetto
"Happy New Year" (nel corpo del messaggio si legge
il testo "Picture of 2006"). In allegato è posta una "falsa"
immagine JPG (in realtà si tratta di un file WMF).

Non appena il file HappyNewYear.jpg allegato all’e-mail virale viene aperto
oppure, in qualche modo, gestito dalla shell di Windows (od indicizzato, ad
esempio, da Google Desktop), viene sfruttata la falla WMF per scaricare una
backdoor da Internet (Bifrose) che espone il sistema a razzie dall’esterno da
parte di aggressori remoti.

La notizia è stata pubblicata sul blog di F-Secure che ha immediatamente
battezzato la nuova minaccia come PFV-Exploit.D. Trend Micro,
ad esempio, ha optato invece per il nome TROJ_NASCENE.H.

Frattanto, nell’attesa che venga rilasciata una patch ufficiale da parte di
Microsoft, vengono proposte alcune possibili soluzioni temporanee per il problema.

L’Internet Storm Center consiglia
l’utilizzo della patch
realizzata da Ilfak Guilfanov (programmatore celebre per aver sviluppato software
per decompilare applicazioni, effettuare analisi sul codice binario, hex editing).
Una volta installata, la patch di Guilfanov fa leva sulla funzione SetAbort(),
considerata come causa principale del problema. Successivamente, ISC suggerisce
di annullare la registrazione della libreria SHIMGVW.DLL utilizzando il comando
regsvr32 /u %windir%\system32\shimgvw.dll.

Non appena Microsoft rilascerà una patch correttiva, prima di applicarla
è caldamente consigliato provvedere alla disinstallazione dell’"hot
fix" di Guilfanov ed alla registrazione della libreria SHIMGVW.DLL (comando
regsvr32 %windir%\system32\shimgvw.dll).

Va ricordato che i file WMF dannosi non debbono avere necessariamente
estensione .WMF
ma possono presentarsi, ad esempio, come nel caso del
worm citato in precedenza, come JPG. Il file viene infatti interpretato come
WMF da parte di Windows grazie all’intestazione ("header") posta al
suo interno.

La vulnerabilità relativa ai file WMF ha le sue radici nel passato.
Quando venne concepito il formato Windows Metafile, nel corso degli anni ’80,
venne inserita una funzionalità che permetteva di inserire del codice
all’interno dei file d’immagine.

Questo codice veniva eseguito attraverso l’uso di una funzionalità "callback"
in certe situazioni. Non un bug quindi ma qualcosa che, a quei tempi, risultava
necessario. La funzione ora incriminata si chiama Escape() ed,
in particolar modo, la sottofunzione SetAbortProc.

La documentazione
Microsoft
riporta come questa sia stata sviluppata per annullare un processo
di stampa durante l’operazione di "spooling".

Ciò implica essenzialmente due aspetti: potrebbero esserci altre funzioni
vulnerabili oltre a SetAbortProc e la vulnerabilità dovrebbe affliggere
tutte le versioni di Windows (dalla 3.0 commercializzata a partire dal 1990).

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome