WMF Exploit

Novogodišnji poklon - Windows WMF Exploit

Dešavanja oko najnovijeg MS sigurnosnog propusta, pod oznakom „WMF slabost“, počela su par dana pred doček nove 2006. godine. 27. decembra 2005. Microsoft saznaje za napade na Windows platforme putem do tada nepoznate slabosti unutar Windows Meta File (WMF) koda. Detalji o ovom novom proboju sigurnosti objavljuju se 28. decembra, zajedno sa planom Microsoft-a, da se do 10-tog januara 2006. objavi „zakrpa“ i sanira problem...

Međutim, pritisak javnosti na Microsoft je tokom novogodišnjih praznika rastao i rastao, tako da je zakrpa objavljena ipak 5 dana ranije, 5-tog januara 2006. To bi ujedno bio i epilog ovog prazničnog sigurnosnog incidenta.

Većina poznavalaca tema iz računarske sigurnosti ce se složiti da novi sigurnosni propust na svakih nekoliko meseci nije ništa neočekivano, niti zabrinjavajuće. To se jednostavno dešava. Maler je što brojni timovi ljudi nisu mogli da se opuste i zabave, već su morali da rešavaju ozbiljan problem.

Pred novogodišnje praznike svima su nam stizale razne animirane Email i Web čestitke. Neke sa ukusom, neke bez. Dosta njih u WMF formatu. Vaš reporter je nekako uspeo da odoli i ne otvori niti jednu...

Činjenice...

Preko 90% ličnih računara je pod nekim od Windows operativnih sistema. Uprkos svim naporima da se Windows-ima poveća sigurnost, ovako brojna populacija je neodoljivo privlačna meta za hakere.

WMF slabost se smatra prilično opasnom, uglavnom zbog toga što zahteva malo učešce korisnika - da bi došlo do proboja sigunosti. Virus se prenosi unutar slika i može se pokrenuti pregledom slike unutar Email poruke ili pristupom inficiranom Web sajtu. Takode je moguće i prenošenje slike Instant Messenger programima.

U prvim danima posle masovnog pojave zaraze, stotine Web sajtova su imali zaražene slike, sa procenama da je 5 do 10% korisnika vec zaraženo. U tim trenucima, bez odgovarajućeg leka, Microsoft je savetovao Windows korisnike da ukinu registraciju sistemske datoteke pod imenom shimgvw.dll, naravno – ako znaju kako. Pokazuje se da taj metod ne rešava problem u celosti, već da samo ometa nešto što se naziva «poznatim vektorima napada».

Nezavisni stručnjaci su videli rešenje u isključivanju pregleda slika u Email programima kao što je Outlook, te da korisnici budu veoma oprezni koje Web sajtove posećuju...

Ruski programer pod imenom Ilfak Guilfanov je uspeo da napiše mali program za zaštitu od WMF napada, što je uz bezrezervnu medijsku podršku dovelo do ozbiljnih pitanja da li je za korisnike bolje da primene «nezavisno» rešenje ili da čekaju na zakrpu od Microsoft-a.

U tom trenutku, kompanija Gartner se recimo opredelila protiv nezavisnih rešenja, a SANS institut i F-Secure za nezavisno rešenje (koje se sastoji od ukidanja registracije ugroženih DLL-ova i izvršnih modula, kao i primene Guilfanov-e zakrpe). Gartner je predložio kombinovani metod blokiranja URL-ova, blokiranje prijema WMF datoteka i hitno testiranje i primenu buduće MS zakrpe.

Međutim čitanje Microsoft saveta povodom ovog incidenta (912840, Vulnerability in Graphics Rendering Engine Could Allow Remote Code Execution) pokazuje da napadač može da promeni WMF ekstenzije zaražene slike, te da će je Windows Graphic Rendering sistem verovatno prepoznati u svom originalnom formatu i ako se radi o zaraženoj slici - dovesti do proboja sigurnosti. Toliko o savetima stručnjaka...

SANS se ozbiljno pozabavio temom, sve sa žutim indikatorom za uzbunu, za koji sami kažu - da ga odavno nisu upalili.

Rekli smo da je Microsoft objavio zakrpu ranije nego što je obećao (05.01.2006.), pre uobičajenog termina za objavljivanje sigurnosnih Update-a.

SANS analiza

Vraćamo se na period od 01. do 04. januara. SANS (www.sans.org) izveštava o primercima WMF Exploit koda pristiglim preko Metasploit mreže – koji rade.

Opisani metod napada generiše datoteke raznih veličina, bez .WMF ekstenzije i različitim dubretom na početku datoteke (tolikim da dovode do prenosa putem serije Ethernet paketa). Takode, u tom trenutku nema nijedne Anti-Virus baze koja reaguje na novi Exploit kod.

Pokazuje se de-registracija shimgvw.dll-a nije dovoljna, jer postoje brojni drugi procesi koji re-registruju pomenuti dll, a i sama re-registracija može dovesti do zaraze sistema… Njihova analiza Guilfanov-e zakrpe pokazuje da je dovoljno efikasna: biblioteka wmfhotfix.dll se ubrizgava u svaki proces koji učitava user32.dll, te zatim u memoriji krpi gdi32.dll Escape() funkciju… što sve zajedno dovodi do toga da Windows ispravno prikazuje .WMF datoteke i pri tome blokira Exploit kod.

Sledi žalopojka o Snort analizatoru mrežnog saobraćaja koji ni sa novim definicijama ne uspeva da uhvati pokvarene WMF datoteke. Problem je u “dubini” na kojoj se nalazi WMF Exploit kod unutar mrežnih pakete, zbog čega Snort ne uspeva da reaguje. Rešenje je da se dubina analize postavi na beskonačno, što trenutno preopterećuje svaki server koji pokreće Snort…

Pretpostavljam da možete da zamislite atmosferu koja je vladala tokom novogodišnjih praznika kod dežurnih ljudi SANS-a.

Metasploit

Ono što je pravi biser u ovom “slučaju” je činjenica da je Metasploit mreža još 27. decembra javno objavila kompletan, funkcionalan kod WMF napada. Ovime je globalna zajednica imala privilegiju da jednostavno testira svoje Windows računare na WMF sigurnosni propust.

Naravno, oko ovakvog radikalnog odnosa prema sigurnosnim problemima i programima za njihovu zloupotrebu diglo se puno prašine. Sama činjenica da jednim klikom miša dobijate najnovije oružje za masovnu destrukciju Windows mašina uznemirila je mnoge.

Ljudi iz Metasploit-a su napade stoički trpeli. Činjenica je da je u trenutku objavljivanja WMF koda postojalo više od 50 varijanti WMF virusa, tako da nema govora o tome da je Metasploit proširio virus. On je već postojao.

Javljaju se i stavovi da nije moralno objavljivati kod Exploit-a sve dok ne postoji odgovarajuća zaštita, odnosno zakrpa. Međutim, Metasploit ostaje pri stavu da priloženi kod omogućava Windows korisnicima da testiraju svoje računare, sve dok ne oforme funkcionalnu odbranu.
Metasploit radi za njih, a ne protiv njih.

Ima i onih koji brane Metasploit, tezama da je brzina reakcije i sama mogućnost odbrane važnija od slabosti.

Međutim, Metasploit sadrži više od WMF koda, to su programi koji probijaju sigurnosti praktično svih (vašem reporteru) poznatih Windows slabosti, tako da ste u stanju da brzo i bez napora dalekosežno proverite sigurnost vaše mreže. Drugim rečima, sve slabosti koje su pojedini legendarni virusi i crvi (Blaster, Sasser, PNP) napadali su tu, sve sa odgovarajućim kodom koji pokazuje da li ste na njih danas imuni ili ne.

Setite se Dastina Hofmana kome Lorens Olivije u filmu Maratonac buši zub jedinicu pitajući ga “Da li je sigurno?”. Njemu bi Metasploit sigurno pomagao. Da sačuva zube.

Epilog

Metasploit pruža korisniku mogućnost da posle uspešnog probnog napada na testiranim mašinama učitaju i odgovarajuću zakrpu, po svojoj želji. Ovakav sistem korisnicima omogućava automatsko “krpljenje” računara i mreža. Što nije mala stvar i pitanje je koliko bi koštala da nekoga angažujete da vam toliko detaljno proveri i osposobi sistem.

Vaš reporter je nekako uspeo da tokom novogodišnjih praznika ne čita elektronsku poštu i ne švrlja po Web-u. Apstinencija je veoma dobra prevencija. Naročito kada načujete da se nešto sprema.…

I na kraju – Metasploit WMF Exploit kod glavom i bradom:

package Msf::Exploit::ie_xp_pfv_metafile;

use strict; use base "Msf::Exploit"; use Pex::Text; use IO::Socket::INET; use IPC::Open3;

my $info = { 'Name' => 'Windows XP/2003/Vista Metafile Escape() SetAbortProc Code
Execution', 'Version' => '$Revision: 1.14 $', 'Authors' => [ 'H D Moore 'Description' => Pex::Text::Freeform(qq{ This module exploits a vulnerability in the GDI library included with Windows XP, 2003, and Vista. This vulnerability uses the 'Escape' metafile function to execute arbitrary code through the SetAbortProc procedure.
This module generates a random WMF record stream for each request and is
will gzip encode the WMF payload if the browser supports it. })

...

Aleksandar Filip, januar 2006.


Povezano

IT Sigurnost

Spam
Spam je naziv za neželjene Email poruke, koje najčešće sadrže reklame, ali sve češće i razne Spyware programe, kao i Phishing prevare...
Phishing
Phishing je vrsta Internet prevare sa trenutno najbržim rastom. Koristi tehnike socijalnog inženjeringa poput falsifikovanih Email poruka i ilegalnih Web sajtova da bi namamili primaoca da oda privatne finansijske podatke kao što su broj kreditne kartice, korisničko ime i pristupnu šifru.
Hoax
Hoax je Email poruka koja je poslata u stilu lanca sreće, koja opisuje neki razorni i potpuno neverovatni tip virusa. Ove poruke se mogu prepoznati po opštem tonu, kao i po tome što nemaju Attachment (dodatak uz poruku), ni reference koje bi mogle da potvrde verodostojnost poruke.
Doombot
Doombot je nova varjanta Mytob virusa, koja kao mamac koristi alarmantu poruku o gašenju Email servisa...

Dalje

Linksys