www.MegaLab.it

Ci risiamo: a poco meno di due mesi dall'aggiornamento di sicurezza Microsoft che correggeva proprio una debolezza nel formato WMF, è emersa una nuova, potenzialmente pericolosissima falla legata alle immagini in questo formato.

Il rischio è ancora una volta di Remote Code Execution: basta infatti un file creato ad hoc nel formato grafico Windows Media File (WMF) per infettare una macchina Windows 2000/XP/2003 bersaglio, anche in caso fossero installati tutti gli aggiornamenti di sicurezza e gli ultimi Service Pack disponibili.

Niente eseguibile da cliccare questa volta: l'utente ostile potrebbe assaltare un sistema semplicemente ospitando l'immagine dannosa su un sito web, o impostandola come avatar su di un forum. Il file si presenta come un semplice documento grafico, ma è in grado in realtà di eseguire codice: sfruttando questa vulnerabilità associata ad una backdoor o qualsiasi virus/worm è possibile quindi prendere pieno controllo del sistema bersagliato.

Ancora: secondo alcuni esperimenti che ho compiuto in locale, basta visualizzare il file in "anteprima" nella shell di Windows per scatenare l'exploit. Insomma, c'è poco da stare allegri...

Un rimedio poco efficace

Il sempre eccellente US-CERT raccomanda di "Do not access Windows Metafiles from untrusted sources", cioè di non accedere a documenti WMF provenienti da fonti non fidate: ho segnalato al team americano che questo accorgimento non è assolutamente sufficiente.

Poiché la libreria fallata (ancora una volta GDI32.dll) compie un analisi del file binario per selezionare il metodo di parsing e non considera l'estensione, sarebbe sufficiente rinominare l'immagine in .gif per aggirare il filtro: l'attacco verrebbe portato a termine comunque con successo. Potete verificare voi stessi: create un'immagine WMF e rinominatela in .gif: fatevi doppio click sopra e il file si aprirà comunque.

Per un utente è quindi praticamente impossibile distinguere fra una vera immagine WMF ed una WMF rinominata in .gif.

Come difendersi

Purtroppo nessuno è ancora riuscito a determinare un rimedio temporaneo veramente efficace.

Microsoft è al lavoro per trovare una soluzione al problema: fino ad allora, l'azienda raccomanda di disabilitare il visualizzatore fax ed immagini, con il comando regsvr32 -u %windir%\system32\shimgvw.dll . Sebbene dai nostri test sia emerso che questo non permetta di arginare il problema del tutto, lo è per rendere inerte l'exploit che sta circolando in queste ore.

Con questa manovra però non sarà più possibile visualizzare le immagini con il visualizzatore di Windows, né le varie anteprime nella shell: per ritornare alla situazione precedente è necessario digitare regsvr32 %windir%\system32\shimgvw.dll ma in questo caso il sistema sarà nuovamente vulnerabile.

Oltre a questo è importante mantenere aggiornato l'antivirus: effettuando un test su più soluzioni antivirali mediante VirusTotal ho rilevato che quasi tutti i principali antivirus sono già in grado di rilevare correttamente l'immagine malformata, a patto però che siano stati aggiornati di recente.