Punto informatico Network

Document, documento, nuovo, crea

Immagini WMF di nuovo pericolose!

30/12/2005
- A cura di
Zane.
Archivio - Una nuova falla di sicurezza in una libreria del sistema operativo espone gli utenti Windows ad un rischio gravissimo. Mentre Microsoft appronta i rimedi, un exploit perfettamente funzionante è già disponibile sulla rete.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

immagini (1) , wmf (1) , pericolose (1) , nuovo (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 267 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

Ci risiamo: a poco meno di due mesi dall'aggiornamento di sicurezza Microsoft che correggeva proprio una debolezza nel formato WMF, è emersa una nuova, potenzialmente pericolosissima falla legata alle immagini in questo formato. Shield.gif

Il rischio è ancora una volta di Remote Code Execution: basta infatti un file creato ad hoc nel formato grafico Windows Media File (WMF) per infettare una macchina Windows 2000/XP/2003 bersaglio, anche in caso fossero installati tutti gli aggiornamenti di sicurezza e gli ultimi Service Pack disponibili.

Niente eseguibile da cliccare questa volta: l'utente ostile potrebbe assaltare un sistema semplicemente ospitando l'immagine dannosa su un sito web, o impostandola come avatar su di un forum. Il file si presenta come un semplice documento grafico, ma è in grado in realtà di eseguire codice: sfruttando questa vulnerabilità associata ad una backdoor o qualsiasi virus/worm è possibile quindi prendere pieno controllo del sistema bersagliato.

Ancora: secondo alcuni esperimenti che ho compiuto in locale, basta visualizzare il file in "anteprima" nella shell di Windows per scatenare l'exploit. Insomma, c'è poco da stare allegri...

Un rimedio poco efficace

Il sempre eccellente US-CERT raccomanda di "Do not access Windows Metafiles from untrusted sources", cioè di non accedere a documenti WMF provenienti da fonti non fidate: ho segnalato al team americano che questo accorgimento non è assolutamente sufficiente.

Poiché la libreria fallata (ancora una volta GDI32.dll) compie un analisi del file binario per selezionare il metodo di parsing e non considera l'estensione, sarebbe sufficiente rinominare l'immagine in .gif per aggirare il filtro: l'attacco verrebbe portato a termine comunque con successo. Potete verificare voi stessi: create un'immagine WMF e rinominatela in .gif: fatevi doppio click sopra e il file si aprirà comunque.

Per un utente è quindi praticamente impossibile distinguere fra una vera immagine WMF ed una WMF rinominata in .gif.

Come difendersi

Purtroppo nessuno è ancora riuscito a determinare un rimedio temporaneo veramente efficace.

Microsoft è al lavoro per trovare una soluzione al problema: fino ad allora, l'azienda raccomanda di disabilitare il visualizzatore fax ed immagini, con il comando regsvr32 -u %windir%\system32\shimgvw.dll . Sebbene dai nostri test sia emerso che questo non permetta di arginare il problema del tutto, lo è per rendere inerte l'exploit che sta circolando in queste ore.

Con questa manovra però non sarà più possibile visualizzare le immagini con il visualizzatore di Windows, né le varie anteprime nella shell: per ritornare alla situazione precedente è necessario digitare regsvr32 %windir%\system32\shimgvw.dll ma in questo caso il sistema sarà nuovamente vulnerabile.

Oltre a questo è importante mantenere aggiornato l'antivirus: effettuando un test su più soluzioni antivirali mediante VirusTotal ho rilevato che quasi tutti i principali antivirus sono già in grado di rilevare correttamente l'immagine malformata, a patto però che siano stati aggiornati di recente.

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.23 sec.
    •  | Utenti conn.: 91
    •  | Revisione 2.0.1
    •  | Numero query: 18
    •  | Tempo totale query: 0.11