Пользователи Eset NOD32 защищены от WMF-уязвимости

Компания Eset сообщила о том, что антивирусное программное обеспечение Eset NOD32 защищает пользователей от уязвимости графической подсистемы Windows при обработке файлов типа Windows Metafile (файлов WMF).

Данная уязвимость имеет статус критической и в первую очередь касается систем Microsoft Windows XP (Service Pack 1 и XP Service Pack 2), Microsoft Windows XP Professional x64 Edition, Microsoft Windows Server 2003 (включая Service Pack 1 и x64 Edition), Microsoft Windows 2000, а также систем Microsoft Windows 98, Microsoft Windows 98 SE, и Windows Millennium. Однако, обнаруженная проблема является очень старой и может присутствовать в том или ином виде во всех версиях системы Windows, выпущенных начиная с Windows 3.0, то есть с 1990 года.

Опубликованный в конце 2005 года пример использования уязвимости графической подсистемы Windows при обработке файлов типа Windows Metafile, позволявший потенциальному злоумышленнику захватить контроль над удаленной системой, немедленно привел к появлению многочисленных троянских программ, развивавших эту возможность.

Разработанные Майкрософт форматы Windows Metafile (WMF), а также Enchanced Metafile (EMF), позволяющие хранить изображение в виде последовательности команд, приводящих к воспроизведению изображения на экране, привлекали внимание хакеров довольно давно. Еще в ноябре 2005 г. ими была найдена серьезная уязвимость этого формата, принадлежавшая к классическому типу "атак на переполнение буфера". Данная уязвимость, приводившая к возможности исполнения нежелательного кода, также имела статус критической, однако, по утверждению Майкрософт, относилась только к системам класса NT (Microsoft Windows 2000, Microsoft Windows XP, Microsoft Windows Server 2003), исключая Microsoft Windows 98 и Microsoft Windows Millennium Edition.

Дальнейшие исследования в этой области привели к обнаружению документированной, хотя и позабытой, возможности использовать один из устаревших, однако вполне действующих вызовов Windows API для сохранения в теле метафайла произвольного программного кода. Код исполнялся в некоторых специальных ситуациях

Это открытие произошло где-то к 27 декабря 2005, а уже 28 декабря появились первые подтвержденные сообщения о появлении нового семейства интернет происходило при посещении пользователем ряда сайтов (например, unionseek.com, ritztours.com, iframeurl.biz), использовавших WMF-уязвимость для загрузки троянских программ на удаленную машину.

Однако, вскоре после этого появились и автономные версии вирусов, распространявшихся в виде почтовых червей, пересылавшихся в прикрепленных к письму файлах изображений. Просмотр изображения, содержавшегося в письме, приводил к активации червя; при этом многие программы просмотра (в первую очередь - стандартные средства просмотра Windows) корректно распознавали формат wmf по бинарному содержимому изображения, что позволяло разработчикам вредоносного программного обеспечения использовать и другие расширения помимо wmf (например, более привычные gif или jpeg).

При этом стоит отметить, что специфические особенности открывшейся уязвимости значительно облегчали задачу маскировки кода - и даже среди тех программ-антивирусов, которые учитывали возможность наличия небезопасного содержимого в прикрепленных изображениях, далеко не все удачно справлялись с определением сигнатур некоторых вирусов этой категории.

Таким образом, потенциальная опасность для пользователя возникала как при посещении специально сформированной интернет-страницы, так и при локальном открытии изображения, содержащего вирус (например, при получении такового по электронной почте). Например, интернет-браузер Internet Explorer открывал подобное изображение при автоматическом перенаправлении, не запрашивая дополнительных подтверждений у пользователя. Менее распространенные браузеры Opera и Firefox предлагают при этом открыть или сохранить картинку, запуская в первом случае внешнее приложение.

Большинство внешних приложений (например, "Программа просмотра изображений и факсов"/ Windows Picture And Fax Viewer, приложения Microsoft Office, XnView, IrfanView, IBM Lotus Notes) оказываются уязвимы к данной особенности, что приводит к заражению системы

Важная особенность данной уязвимости в том, что угроза заражения системы существует не только при открытии файла, содержащего вредоносный код, но также и при исполнении следующих действий:
- простой просмотр содержимого папки Windows XP, в которой находится данное изображение (при этом режим предварительного просмотра (preview) может даже быть отключен);
- использование диалога открытия файла приложения Microsoft Office, например, при вставке файла в документ Microsoft Word;
- просмотр свойств данного изображения.

При этом смена расширения файла не приводит к утрате им потенциально опасных свойств. Заражения может и не произойти при простом просмотре html-страницы, содержащей вредоносное изображение в качестве внедренной картинки; однако открытие такого изображения по прямой ссылке может быть опасно.

Пользователи систем Windows 9x (например, Windows 98 и Windows ME) находятся в несколько меньшей опасности вследствие того, что в этих системах по умолчанию не присутствует встроенный обработчик wmf-файлов.

Компания Microsoft отреагировала на уязвимость, выпустив 28-го декабря "совет по безопасности" (Security Advisory) 912840, в котором признавала существование проблемы и обещала решить ее до 10 января. В итоге патч был выпущен Microsoft 6 января, за несколько дней до ранее объявленного срока.

Антивирусная лаборатория Eset отреагировала на угрозу одной из первых. Так, уже 31 декабря на сайте американского издания eWeek (www.eweek.com, русская версия eWeek называется PCWeek/Russian Edition) появился отчет о тестировании способности антивирусных программ противостоять угрозе, связанной с wmf-файлами. Испытания проводились независимой тестовой лабораторией AV-Test (www.av-test.org), специализирующейся на тестировании антивирусного ПО. В тестировании использовалось 73 варианта вредоносных файлов WMF. Продукты следующих антивирусных компаний смогли идентифицировать все 73 угрозы:
- Eset NOD32
- Alwil Software (Avast)
- Softwin (BitDefender)
- ClamAV
- F-Secure Inc.
- Fortinet Inc.
- McAfee Inc.
- Panda Software
- Sophos Plc
- Symantec Corp.
- Trend Micro Inc.
- VirusBuster

На 11 января 2006 г. компанией Microsoft выпущено необходимое исправление только для версий систем Microsoft Windows XP, Microsoft Windows 2000 (Service Pack 4) и Microsoft Windows Server 2003. Что же касается остальных версий семейства, то, предположительно, обновление от Microsoft будет доступно для них несколько позже.

©1997-2024 Компьютерная газета