11 Января 2006

Российское представительство Eset NOD32: пользователи Eset NOD32 надежно защищены от WMF-уязвимости

Российское представительство Eset NOD32: пользователи Eset NOD32 надежно защищены от WMF-уязвимости

Москва, 11 января 2006 г. Компания Eset, международный разработчик решений в области компьютерной безопасности, сообщает о том, что антивирусное программное обеспечение Eset NOD32 надежно защищает пользователей от уязвимости графической подсистемы Windows при обработке файлов типа Windows Metafile (файлов WMF).

Данная уязвимость имеет статус критической и в первую очередь касается систем Microsoft Windows XP (Service Pack 1 и XP Service Pack 2), Microsoft Windows XP Professional x64 Edition, Microsoft Windows Server 2003 (включая Service Pack 1 и x64 Edition), Microsoft Windows 2000, а также систем Microsoft Windows 98, Microsoft Windows 98 SE, и Windows Millennium. Однако, обнаруженная проблема является очень старой и может присутствовать в том или ином виде во всех версиях системы Windows, выпущенных начиная с Windows 3.0, то есть с 1990 года.

Опубликованный в конце 2005 года пример использования уязвимости графической подсистемы Windows при обработке файлов типа Windows Metafile, позволявший потенциальному злоумышленнику захватить контроль над удаленной системой, немедленно привел к появлению многочисленных троянских программ, развивавших эту возможность.

Разработанные Майкрософт форматы Windows Metafile (WMF), а также Enchanced Metafile (EMF), позволяющие хранить изображение в виде последовательности команд, приводящих к воспроизведению изображения на экране, привлекали внимание хакеров довольно давно. Еще в ноябре 2005 г. ими была найдена серьезная уязвимость этого формата, принадлежавшая к классическому типу атак на переполнение буфера. Данная уязвимость, приводившая к возможности исполнения нежелательного кода, также имела статус критической, однако, по утверждению Майкрософт, относилась только к системам класса NT (Microsoft Windows 2000, Microsoft Windows XP, Microsoft Windows Server 2003), исключая Microsoft Windows 98 и Microsoft Windows Millennium Edition.

Дальнейшие исследования в этой области привели к обнаружению документированной, хотя и позабытой, возможности использовать один из устаревших, однако вполне действующих вызовов Windows API для сохранения в теле метафайла произвольного программного кода. Код исполнялся в некоторых специальных ситуациях.

Это открытие произошло где-то к 27 декабря 2005, а уже 28 декабря появились первые подтвержденные сообщения о появлении нового семейства интернет-червей, использовавших данную уязвимость. Первоначально заражение происходило при посещении пользователем ряда сайтов (например, unionseek.com, ritztours.com, iframeurl.biz), использовавших WMF-уязвимость для загрузки троянских программ на удаленную машину.

Однако, вскоре после этого появились и автономные версии вирусов, распространявшихся в виде почтовых червей, пересылавшихся в прикрепленных к письму файлах изображений. Просмотр изображения, содержавшегося в письме, приводил к активации червя; при этом многие программы просмотра (в первую очередь – стандартные средства просмотра Windows) корректно распознавали формат wmf по бинарному содержимому изображения, что позволяло разработчикам вредоносного программного обеспечения использовать и другие расширения помимо wmf (например, более привычные gif или jpeg).

При этом стоит отметить, что специфические особенности открывшейся уязвимости значительно облегчали задачу маскировки кода – и даже среди тех программ-антивирусов, которые учитывали возможность наличия небезопасного содержимого в прикрепленных изображениях, далеко не все удачно справлялись с определением сигнатур некоторых вирусов этой категории.

Таким образом, потенциальная опасность для пользователя возникала как при посещении специально сформированной интернет-страницы, так и при локальном открытии изображения, содержащего вирус (например, при получении такового по электронной почте). Например, интернет-браузер Internet Explorer открывал подобное изображение при автоматическом перенаправлении, не запрашивая дополнительных подтверждений у пользователя. Менее распространенные браузеры Opera и Firefox предлагают при этом открыть или сохранить картинку, запуская в первом случае внешнее приложение.

Большинство внешних приложений (например, Программа просмотра изображений и факсов/ Windows Picture And Fax Viewer, приложения Microsoft Office, XnView, IrfanView, IBM Lotus Notes) оказываются уязвимы к данной особенности, что приводит к заражению системы.

Важная особенность данной уязвимости в том, что угроза заражения системы существует не только при открытии файла, содержащего вредоносный код, но также и при исполнении следующих действий:

  • простой просмотр содержимого папки Windows XP, в которой находится данное изображение (при этом режим предварительного просмотра (preview) может даже быть отключен);
  • использование диалога открытия файла приложения Microsoft Office, например, при вставке файла в документ Microsoft Word;
  • просмотр свойств данного изображения.
При этом смена расширения файла не приводит к утрате им потенциально опасных свойств.

Заражения может и не произойти при простом просмотре html-страницы, содержащей вредоносное изображение в качестве внедренной картинки; однако открытие такого изображения по прямой ссылке может быть опасно.

Пользователи систем Windows 9x (например, Windows 98 и Windows ME) находятся в несколько меньшей опасности вследствие того, что в этих системах по умолчанию не присутствует встроенный обработчик wmf-файлов.

Компания Microsoft отреагировала на уязвимость, выпустив 28-го декабря совет по безопасности (Security Advisory) 912840, в котором признавала существование проблемы и обещала решить ее до 10 января. В итоге патч был выпущен Microsoft 6 января, за несколько дней до ранее объявленного срока.

Антивирусная лаборатория Eset отреагировала на угрозу одной из первых. Так, уже 31 декабря на сайте американского издания eWeek (www.eweek.com, русская версия eWeek называется PCWeek/Russian Edition) появился отчет о тестировании способности антивирусных программ противостоять угрозе, связанной с wmf-файлами. Испытания проводились независимой тестовой лабораторией AV-Test (www.av-test.org), специализирующейся на тестировании антивирусного ПО. В тестировании использовалось 73 варианта вредоносных файлов WMF. Продукты следующих антивирусных компаний смогли идентифицировать все 73 угрозы:

  • Eset NOD32
  • Alwil Software (Avast)
  • Softwin (BitDefender)
  • ClamAV
  • F-Secure Inc.
  • Fortinet Inc.
  • McAfee Inc.
  • Panda Software
  • Sophos Plc
  • Symantec Corp.
  • Trend Micro Inc.
  • VirusBuster
Другие антивирусные компании хотя и объявили о существующей опасности достаточно быстро, но не смогли предложить к моменту тестирования надежную защиту от WMF-уязвимости. Так, их антивирусные продукты обнаружили угрозу в меньшем числе использовавшихся в тестировании вредоносных фалов WMF:
  • 62 — eTrust-VET
  • 62 — QuickHeal
  • 61 — AntiVir
  • 61 — Dr Web
  • 61 — Kaspersky (Лаборатория Касперского)
  • 60 — AVG
  • 19 — Command
  • 19 — F-Prot
  • 11 — Ewido
  • 7 — eSafe
  • 7 — eTrust-INO
  • 6 — Ikarus
  • 6 — VBA32
  • 0 — Norman
Полный текст публикации в eWeek можно посмотреть здесь: http://www.eweek.com/article2/0,1895,1907131,00.asp. Специальный репортаж хронологию событий можно посмотреть здесь: http://www.eweek.com/category2/0,1874,1252525,00.asp.

В более поздних тестированиях с защитой от вредоносных файлов WMF справилось уже большее число антивирусных пакетов.

На сегодняшний день (11 января 2006 г.) компанией Microsoft выпущено необходимое исправление только для версий систем Microsoft Windows XP, Microsoft Windows 2000 (Service Pack 4) и Microsoft Windows Server 2003. Что же касается остальных версий семейства, то, предположительно, обновление от Microsoft будет доступно для них несколько позже.