Windows 0-day exploit

Microsoft Windows Graphics Rendering Engine WMF Format Unspecified Code Execution Vulnerability. Tak opisany, wykryty dwa dni temu błąd formatu plików WMF w silniku renderingu grafiki Microsoft Windows sklasyfikowany został jako bardzo poważny. Podatność na specjalnie sformatowane pliki WMF przy atakach lokalnych i zdalnych (parsowanie pliku), daje atakującemu pełne prawa dostępu oraz możliwość dalszej penetracji systemu.

Każde uruchomienie instrukcji kodu wykonane jest z prawami użytkownika oglądającego spreparowany obraz. Atakujący uzyska prawa SYSTEM, w przypadku kiedy obraz otworzony zostanie przez użytkownika posiadającego prawa Administratora.

Przykładowy schemat ataku.

Kod strony HTML uruchamia WMF (Windows Meta File), który instaluje bazową wersję trojana. Nie pomoże nawet w pełni zaktualizowany Windows posiadający wszelkie Service Packs. Następnie ściągnięty zostaje Winhound, sfałszowany anty-spamowy/wirusowy program, który pyta się użytkownika o autoryzację i rejestrację oprogramowania, celem pozornego usunięcia znalezionych infekcji.

Internet Explorer automatycznie uruchomi program „Windows Picture and Fax Viewer”. W przeglądarce FireFox pojawi się okno z zapytaniem, czy użytkownik chce uruchomić program „Windows Picture and Fax Viewer”. W przypadku potwierdzenia – uruchomi się exploit. Z tego wniosek, iż używający IE w przeciwieństwie do FF nie mają praktycznie wpływu na obronę przez atakiem. Wystaczy otworzyć stronę internetową, na której znajduje się spreparowany WMF przeglądarką Internet Explorer lub przeglądnąć folder zawierający obrazki, używając Windows Explorer.

W niektórych przypadkach możliwa jest interwencja DEP (Data Execution Prevention). Niestety nie są jeszcze znane szczegóły dotyczące środowiska i schematu działania, w jakim DEP zareaguje. Z analiz przeprowadzonych przez F-Secure wynika, iż w ciągu ostatnich 24 godzin trzy różne rodzaje plików WMF zostały wykryte, celem wykorzystania błędu i próby dalszego rozprzestrzenienia się.

Błąd ten i kod exploita dostępny w sieci sklasyfikowany jest jako zero-day (0-day). Wiele firm oraz różnego rodzaju Instytucji zaniepokojonych jest sytuacją, w której publikacja exploita ma miejsce o wiele wcześniej niż wydanie przez vendors aktualizacji oraz łat. Szczególnie uważne powinny być osoby korzystające z Google Desktop, gdyż gigant indeksuje każde ściągnięte z sieci zdjęcie i automatycznie uruchomi exploit przy jego przeglądaniu.

Serwisy, które nie korzystają z parserów RSS – umieszczające newsy żywcem przepisane z Hacking.pl z innym źródłem informacji proszone są o podanie bazowego adresu jako jej źródła; a nie pośredniego, który i tak wskazuje na Hacking.pl.