WMF FAQ/OSS (Ofte Stillede Spørgsmål)

Denne FAQ/OSS er en oversættelse af den engelske FAQ fra SANS Internet Storm Center. Den er opdateret til ISC's version 5.


Hvorfor er dette problem så vigtigt?

Sårbarheden udnytter billeder (WMF-billeder) til at afvikle vilkårlige programmer, bl.a. virus og bagdøre. Sårbarheden bliver udløst alene ved at se billedet. Oftest skal du ikke engang klikke OK eller gøre noget andet for at få det at se. Sårbarheden kan endda blive udløst hvis et program laver et index over en harddisks indhold og finder et inficeret billede. Stifinder vil udløse sårbarheden hvis du åbner en mappe med et inficeret billede og ser miniaturer over mappens indhold.

Er det bedre at bruge Firefox eller Internet Explorer?

Internet Explorer vil vise et inficeret billede og udløse fejlen uden advarsler. Nye versioner af Firefox vil spørge dig før den viser billedet, men da der er tale om et billede vil du sansynligvis ikke ane uråd og vise det, da det jo "bare" er et billede.

Hvilke versioner af Windows er sårbare?

Alle versioner. Windows 2000, Windows XP (SP1 og SP2), Windows 2003. De er alle sårbare i en eller anden grad. Mac OS-X, Unix og BSD er ikke sårbare.

Hvis du stadig bruger Windows 98/ME, så står du nu ved en skillevej. Vi forventer (men har ikke undersøgt det nærmere) at systemerne er sårbare, men Microsoft har allerede annonceret at de ikke vil levere nogen rettelser til dem. Eneste reelle måde at undgå problemet er derfor at opgradere.

Hvad kan jeg gøre for at beskytte min computer?

På grund af de usædvanlige omstændigheder anbefalede vi kortvarigt en uofficiel rettelse, men vi anbefaler nu at installere den officielle rettelse fra Microsoft så hurtigt som muligt (gennem Windows Update).

Den uofficielle rettelse var skrevet af Ilfak Guilfanov og Tom Liston fra SANS Internet Storm Center gennemgik den. Vi distribuerer ikke den uofficielle rettelse længere (den nåede version 1.4, MD5: 15f0a36ea33f39c1bcf5a98e51d4f4f6), PGP-signatur her (underskrevet af ISC's nøgle). MANGE TAK til Ilfak Guilfanov for denne rettelse!

Vi anbefalede også at afregistrere den sårbare DLL, men da der nu findes en officiel rettelse er dette ikke længere nødvendigt.

Hvordan genregistrerer jeg DLLen og fjerner den uofficielle rettelse?

VIGTIGT! Du skal genstarte computeren før du genregistrerer DLLen. Der kan stadig være skadelige WMF-filer i computerens hukommelse der venter på at blive vist. Vores undersøgelser har vist at den ondskabsfulde kode i disse billeder vil blive afviklet i samme øjeblik DLLen bliver genregistreret.

Sådan genregistrerer du DLLen

Klik på Start og vælg Kør, her skriver du "regsvr32 %windir%\system32\shimgvw.dll". Det er den samme kommando som blev brugt til at afregistrere DLLen, bare uden -u.

Sådan fjerner du den uofficielle rettelse

Gå ind i Kontrolpanelet og vælg "Tilføj/Fjern programmer". Her finder du den uofficielle rettelse i listen og trykker på knappen "Fjern".

Du kan også afinstallere den uofficielle rettelse fra kommandolinjen, her skriver du denne kommando: msiexec.exe /X{E1CDC5B0-7AFB-11DA-8CD6-0800200C9A66} /qn.

Hvordan virker den uofficielle rettelse?

Den uofficielle rettelse installerer filen "wmfhotfix.dll", der bliver indlæst sammen med alle programmer på computeren. Derefter forbinder den sig til Escape() funktionen i "gdi32.dll" og tvinger den til at ignorere alle forsøg på at bruge parameteren SETABORTPROC. Det skulle tillade Windows-programmer at vise WMF-billeder helt normalt og samtidig blokere for at sårbarheden bliver udnyttet. Vi har gennemgået rettelsen her og testet den med alle kendte udgaver af sårbarheden, og det lader til at virke fint på Windows XP (SP1 og SP2) samt Windows 2000.

Er det ikke nok at afregistrere DLL'en?

Det vil muligvis hjælpe, men det er ikke perfekt. Vi har meget stærke indikationer for at det ikke altid er nok at afregistrere DLL'en. Den kan blive registreret igen af ondskabsfulde programmer eller andre installationsprogrammer uden du opdager det.

Burde jeg ikke slette DLL'en?

Det er muligvis ikke nogen dårlig ide, men Windows File Protection vil sikkert bare genskabe den. Du skal derfor først afslutte Windows File Protection. Når den officielle rettelse kommer, så skal den erstatte filen, og den vil muligvis have problemer hvis filen ikke eksisterer. Du kan selvfølgelig omdøbe filen, så vil den stadig være tilgængelig senere.

Findes der en måde at kontrollere om min computer er sårbar?

Vi har lavet et billede der vil starte Windows lommeregner, hvis computeren er sårbar. Gå ind på http:// sipr.net / test.wmf. Billedet burde blive stoppet af alle opdaterede antivirus systemer og er skrevet på en måde der gør det let at opdage den ondskabsfulde kode. Man kan dog ikke antage at alle ondskabsfulde billeder bliver blokeret, hvis dette billede bliver opdaget.

Burde jeg ikke bare blokere for alle WMF-billeder?

Det er desværre ikke nok. Windows genkender WMF-billeder ud fra specielle tegn i begyndelsen af filen, frem for filtypen. Det betyder at et WMF-billede kan slippe ind, skjult som enhver anden filtype, eller indlejret i Word eller andre dokumenter.

Hvad er DEP (Data Execution Protection), og hvordan hjælper det mig?

Microsoft introducerede DEP i Windows XP SP2. Det beskytter ved at forhindre programmer i at udføre de programinstruktioner der står i de dele af hukommelsen der er markeret som data. For at det skal virke ordentligt så bør hardwaren understøtte det. Enkelte CPU'er, bl.a. AMD's 64 bit CPU'er understøtter DEP og vil forhindre fejlen i at blive udnyttet.

Hvor gode er antivirusprodukter til at blokere for problemet?

Vi kender til udgaver af sårbarheden som ikke bliver opdaget af nogen antivirusprodukter. Vi håber at de snart bliver opdateret. Vi håber at de snart kan blokere alt, men det bliver svært. Opdaterede antivirusprodukter er nødvendigt, men sansynligvis ikke nok.

Hvordan kan et ondt WMF-billede komme ind på mit netværk?

Det er let... Vedhæftede filer i en e-mail, billeder på websites og instant messaging programmer er sansynlige kilder, men glem ikke P2P, andre fildelingsprogrammer og USB nøgleringe.

Er det ikke nok at fortælle mine brugere at de ikke skal besøge tvivlsomme websites?

Nej. Det hjælper, men er ikke nok. Mindst et velkendt og anerkendt website er blevet hacket til at sprede ondskabsfulde WMF-billeder (knoppix-std.org). Som en del af hacket blev der tilføjet en frame på siden der henviste brugerne til et ondskabsfuld WMF-billede. "Betroede" websites er tidligere blevet udnyttet på denne måde.

Hvad er det reelle problem med WMF-billeder?

WMF-billeder er en smule anderledes end andre billeder. I stedet for at indeholde en simpel definition af hvilken farve de enkelte pixels indeholder, så kan WMF-billeder kalde eksterne procedurer. en af disse procedurer kan kan udnyttes til at afvikle ondskabsfuld kode.

Skal jeg bruge værktøjer som "dropmyrights" og lignende til at mindske effekten af sårbarheden?

Ja, endeligt. Du bør generelt ikke arbejde som administrator på computeren i dit daglige arbejde. Det vil dog kun mindske effekten af fejlen, ikke afværge den. Bemærk også at web surfing er en blandt mange måder at udløse fejlen på. Hvis et ondskabsfuldt billede bliver efterladt på computeren, og en administrator senere kigger på det, så bliver computeren muligvis ramt.

Er mine servere sårbare?

Muligvis. Tillader du brugere at uploade billeder? E-mails? Bliver disse filer indexeret? Bruger du undertiden en webbrowser på serveren? Hvis nogen kan få en ondskabsfuldt billede ind på serveren, og hvis den sårbare DLL kigger på dette billede, så har du problemer.

Hvad kan jeg gøre ved min netværksgrænse/firewall for at beskytte mit netværk?

Ikke meget... Få en proxy-server til at fjerne alle billeder på websites? Det bliver brugerne måske en smule irriterede over. Du bør nok blokere for .WMF-filer, men se ovenfor vedr. filtyper. Hvis din proxy har en virus checker, så kan den måske blokere for problemet. Tilsvarende for mail servere. I dette tilfælde er det svært at beskytte sig ordentligt, og man bør i højere grad forsøge at blokere for brugeres udgående forbindelser og holde øje med usædvanlig trafik, der kan indikere at en arbejdsstation er blevet ramt.

Kan jeg benytte et IDS (Intrusion Detection System) til at afsløre fejlen?

De fleste IDS'er arbejder på nye signaturer. Kontakt leverandøren for flere detaljer. Bleedingsnort.org arbejder på signaturer for snort-brugere.

Hvad kan jeg gøre hvis jeg bliver ramt af fejlen?

Ikke meget :-( Det kommer helt an på hvilke programmer det ondskabsfulde WMF-billede installerede på dit system. De fleste vil downloade yderligere komponenter, og det kan være svært, undertiden umuligt at finde og fjerne det hele.

Hvad siger Microsoft om fejlen?

Se http://www.microsoft.com/technet/security/advisory/912840.mspx. Microsoft har frigivet en rettelse, der kan findes på adressen http://www.microsoft.com/technet/security/bulletin/ms06-001.mspx.

Hvad siger CERT om fejlen?

http://www.kb.cert.org/vuls/id/181038.

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-4560.