Denne FAQ/OSS er en oversættelse af den engelske FAQ fra SANS Internet Storm Center. Den er opdateret til ISC's version 5.
Sårbarheden udnytter billeder (WMF-billeder) til at afvikle vilkårlige programmer, bl.a. virus og bagdøre. Sårbarheden bliver udløst alene ved at se billedet. Oftest skal du ikke engang klikke OK eller gøre noget andet for at få det at se. Sårbarheden kan endda blive udløst hvis et program laver et index over en harddisks indhold og finder et inficeret billede. Stifinder vil udløse sårbarheden hvis du åbner en mappe med et inficeret billede og ser miniaturer over mappens indhold.
Internet Explorer vil vise et inficeret billede og udløse fejlen uden advarsler. Nye versioner af Firefox vil spørge dig før den viser billedet, men da der er tale om et billede vil du sansynligvis ikke ane uråd og vise det, da det jo "bare" er et billede.
Alle versioner. Windows 2000, Windows XP (SP1 og SP2), Windows 2003. De er alle sårbare i en eller anden grad. Mac OS-X, Unix og BSD er ikke sårbare.
Hvis du stadig bruger Windows 98/ME, så står du nu ved en skillevej. Vi forventer (men har ikke undersøgt det nærmere) at systemerne er sårbare, men Microsoft har allerede annonceret at de ikke vil levere nogen rettelser til dem. Eneste reelle måde at undgå problemet er derfor at opgradere.
På grund af de usædvanlige omstændigheder anbefalede vi kortvarigt en uofficiel rettelse, men vi anbefaler nu at installere den officielle rettelse fra Microsoft så hurtigt som muligt (gennem Windows Update).
Den uofficielle rettelse var skrevet af Ilfak Guilfanov og Tom Liston fra SANS Internet Storm Center gennemgik den. Vi distribuerer ikke den uofficielle rettelse længere (den nåede version 1.4, MD5: 15f0a36ea33f39c1bcf5a98e51d4f4f6), PGP-signatur her (underskrevet af ISC's nøgle). MANGE TAK til Ilfak Guilfanov for denne rettelse!
Vi anbefalede også at afregistrere den sårbare DLL, men da der nu findes en officiel rettelse er dette ikke længere nødvendigt.
VIGTIGT! Du skal genstarte computeren før du genregistrerer DLLen. Der kan stadig være skadelige WMF-filer i computerens hukommelse der venter på at blive vist. Vores undersøgelser har vist at den ondskabsfulde kode i disse billeder vil blive afviklet i samme øjeblik DLLen bliver genregistreret.
Klik på Start og vælg Kør, her skriver du "regsvr32 %windir%\system32\shimgvw.dll". Det er den samme kommando som blev brugt til at afregistrere DLLen, bare uden -u.
Gå ind i Kontrolpanelet og vælg "Tilføj/Fjern programmer". Her finder du den uofficielle rettelse i listen og trykker på knappen "Fjern".
Du kan også afinstallere den uofficielle rettelse fra kommandolinjen, her skriver du denne kommando: msiexec.exe /X{E1CDC5B0-7AFB-11DA-8CD6-0800200C9A66} /qn.
Den uofficielle rettelse installerer filen "wmfhotfix.dll", der bliver indlæst sammen med alle programmer på computeren. Derefter forbinder den sig til Escape() funktionen i "gdi32.dll" og tvinger den til at ignorere alle forsøg på at bruge parameteren SETABORTPROC. Det skulle tillade Windows-programmer at vise WMF-billeder helt normalt og samtidig blokere for at sårbarheden bliver udnyttet. Vi har gennemgået rettelsen her og testet den med alle kendte udgaver af sårbarheden, og det lader til at virke fint på Windows XP (SP1 og SP2) samt Windows 2000.
Det vil muligvis hjælpe, men det er ikke perfekt. Vi har meget stærke indikationer for at det ikke altid er nok at afregistrere DLL'en. Den kan blive registreret igen af ondskabsfulde programmer eller andre installationsprogrammer uden du opdager det.
Det er muligvis ikke nogen dårlig ide, men Windows File Protection vil sikkert bare genskabe den. Du skal derfor først afslutte Windows File Protection. Når den officielle rettelse kommer, så skal den erstatte filen, og den vil muligvis have problemer hvis filen ikke eksisterer. Du kan selvfølgelig omdøbe filen, så vil den stadig være tilgængelig senere.
Vi har lavet et billede der vil starte Windows lommeregner, hvis computeren er sårbar. Gå ind på http:// sipr.net / test.wmf. Billedet burde blive stoppet af alle opdaterede antivirus systemer og er skrevet på en måde der gør det let at opdage den ondskabsfulde kode. Man kan dog ikke antage at alle ondskabsfulde billeder bliver blokeret, hvis dette billede bliver opdaget.
Det er desværre ikke nok. Windows genkender WMF-billeder ud fra specielle tegn i begyndelsen af filen, frem for filtypen. Det betyder at et WMF-billede kan slippe ind, skjult som enhver anden filtype, eller indlejret i Word eller andre dokumenter.
Microsoft introducerede DEP i Windows XP SP2. Det beskytter ved at forhindre programmer i at udføre de programinstruktioner der står i de dele af hukommelsen der er markeret som data. For at det skal virke ordentligt så bør hardwaren understøtte det. Enkelte CPU'er, bl.a. AMD's 64 bit CPU'er understøtter DEP og vil forhindre fejlen i at blive udnyttet.
Vi kender til udgaver af sårbarheden som ikke bliver opdaget af nogen antivirusprodukter. Vi håber at de snart bliver opdateret. Vi håber at de snart kan blokere alt, men det bliver svært. Opdaterede antivirusprodukter er nødvendigt, men sansynligvis ikke nok.
Det er let... Vedhæftede filer i en e-mail, billeder på websites og instant messaging programmer er sansynlige kilder, men glem ikke P2P, andre fildelingsprogrammer og USB nøgleringe.
Nej. Det hjælper, men er ikke nok. Mindst et velkendt og anerkendt website er blevet hacket til at sprede ondskabsfulde WMF-billeder (knoppix-std.org). Som en del af hacket blev der tilføjet en frame på siden der henviste brugerne til et ondskabsfuld WMF-billede. "Betroede" websites er tidligere blevet udnyttet på denne måde.
WMF-billeder er en smule anderledes end andre billeder. I stedet for at indeholde en simpel definition af hvilken farve de enkelte pixels indeholder, så kan WMF-billeder kalde eksterne procedurer. en af disse procedurer kan kan udnyttes til at afvikle ondskabsfuld kode.
Ja, endeligt. Du bør generelt ikke arbejde som administrator på computeren i dit daglige arbejde. Det vil dog kun mindske effekten af fejlen, ikke afværge den. Bemærk også at web surfing er en blandt mange måder at udløse fejlen på. Hvis et ondskabsfuldt billede bliver efterladt på computeren, og en administrator senere kigger på det, så bliver computeren muligvis ramt.
Muligvis. Tillader du brugere at uploade billeder? E-mails? Bliver disse filer indexeret? Bruger du undertiden en webbrowser på serveren? Hvis nogen kan få en ondskabsfuldt billede ind på serveren, og hvis den sårbare DLL kigger på dette billede, så har du problemer.
Ikke meget... Få en proxy-server til at fjerne alle billeder på websites? Det bliver brugerne måske en smule irriterede over. Du bør nok blokere for .WMF-filer, men se ovenfor vedr. filtyper. Hvis din proxy har en virus checker, så kan den måske blokere for problemet. Tilsvarende for mail servere. I dette tilfælde er det svært at beskytte sig ordentligt, og man bør i højere grad forsøge at blokere for brugeres udgående forbindelser og holde øje med usædvanlig trafik, der kan indikere at en arbejdsstation er blevet ramt.
De fleste IDS'er arbejder på nye signaturer. Kontakt leverandøren for flere detaljer. Bleedingsnort.org arbejder på signaturer for snort-brugere.
Ikke meget :-( Det kommer helt an på hvilke programmer det ondskabsfulde WMF-billede installerede på dit system. De fleste vil downloade yderligere komponenter, og det kan være svært, undertiden umuligt at finde og fjerne det hele.
Se http://www.microsoft.com/technet/security/advisory/912840.mspx. Microsoft har frigivet en rettelse, der kan findes på adressen http://www.microsoft.com/technet/security/bulletin/ms06-001.mspx.
http://www.kb.cert.org/vuls/id/181038.
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-4560.