Microsoft Windows WMF Handling Arbitrary Code Execution(Massima Allerta)

Secunia Advisory: SA18255 Print Advisory
Release Date: 2005-12-28

Critical:Extremely critical
Impact: System access
Where: From remote
Solution Status: Unpatched

OS: Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Server 2003 Web Edition
Microsoft Windows XP Home Edition
Microsoft Windows XP Professional

Select a product and view a complete list of all Patched/Unpatched Secunia advisories affecting it.

Description:
A vulnerability has been discovered in Microsoft Windows, which can be exploited by malicious people to compromise a vulnerable system.

The vulnerability is caused due to an error in the handling of corrupted Windows Metafile files (".wmf"). This can be exploited to execute arbitrary code by tricking a user into opening a malicious ".wmf" file in "Windows Picture and Fax Viewer" or previewing a malicious ".wmf" file in explorer (i.e. selecting the file). This can also be exploited automatically when a user visits a malicious web site using Microsoft Internet Explorer.

NOTE: Exploit code is publicly available. This is being exploited in the wild.

The vulnerability has been confirmed on a fully patched system running Microsoft Windows XP SP2. Microsoft Windows XP SP1 and Microsoft Windows Server 2003 SP0 / SP1 are reportedly also affected. Other platforms may also be affected.

Solution:
Do not open or preview untrusted ".wmf" files and set security level to "High" in Microsoft Internet Explorer.



http://secunia.com/advisories/18255/

Roma - Nella comunità internazionale di esperti di sicurezza è allarme rosso. Ieri, sulla celebre mailing-list di sicurezza Bugtraq, è infatti apparso un advisory che descrive una vulnerabilità di Windows XP zero-day: ciò significa che sebbene il bug sia appena stato scoperto, su Internet già circola un exploit in grado di sfruttarlo.

Il problema è causato da una non corretta gestione, da parte del motore di rendering di Windows XP, di certi file grafici in formato Windows Metafile (WMF): un file WMF malformato può eseguire, una volta aperto, del codice dannoso con i massimi privilegi di sistema.

A rendere la situazione piuttosto critica c'è il fatto che almeno un paio di siti web stanno già sfruttando la vulnerabilità per diffondere cavalli di ***** e altri tipi di malware. A correre i rischi maggiori sono gli utilizzatori di Internet Explorer, che possono infettarsi semplicemente aprendo una pagina web contenente un file WMF nocivo. Chi usa altri browser, come Firefox e Opera, può infettare il PC solo nel caso in cui autorizzi il proprio browser a scaricare ed eseguire l'immagine WMF: in tale evenienza il file viene aperto con il viewer d'immagini integrato in Windows. Pare tuttavia che le più recenti versioni di Firefox, inclusa la 1.5, associno erroneamente i file WMF al Windows Media Player: dato che questo programma non è in grado di gestire tali file, il codice maligno in essi incluso non viene eseguito.

L'exploit funziona su tutte le versioni di Windows XP e Windows Server 2003, incluse quelle a cui siano state applicate tutte le patch e i service pack.

È interessante notare come la tecnologia DEP (Data Execution Prevention), introdotta da Microsoft con gli ultimi service pack per Windows XP e Server 2003, sembra in grado di bloccare l'esecuzione del codice dannoso: stando a quanto riportato nel blog dell'Internet Storm Center, la DEP ha dimostrato la sua efficacia in presenza di un Athlon 64. Il meccanismo di sicurezza dovrebbe tuttavia funzionare con tutte le CPU di AMD e di Intel dotate del famoso "bit NX".

Data la gravità del problema, che Secunia non ha esitato a classificare come "extremely critical", è certo che in Microsoft qualcuno passerà il Capodanno a sviluppare una patch. Nell'attesa, gli esperti raccomandano agli utenti di non aprire file WMF provenienti da fonti non attendibili e di impostare, in IE, il livello di protezione massimo (Strumenti -> Opzioni Internet -> Protezione -> Livello predefinito -> Alta).


Fonte

Falla WMF: 50+ Varianti Exploits

Il rischio legato al nuovo pericoloso exploit per WMF, diffusosi in queste ore, che attacca anche i sistemi più recenti di Microsoft, è aumentato ancora dopo l'apparizione sulla rete di più di 50 varianti del codice nocivo d'attacco.

Una azienda di sicurezza ha affermato che le possibilità di sfruttare la vulnerabilità nella gestione dei files WMF sono praticamente innumerevoli. Luis Corrons di Panda Software commenta: "La falla può essere sfruttata per installare qualsiasi tipo di codice nocivo, non solo Trojans e spyware, ma anche worms, bots e virus, che possono portare danni irrimediabili ai computers".

Col tentativo di gettare acqua sul fuoco, nel suo Security Advisory Microsoft afferma comunque che non c'è modo per un attacker di forzare l'utente a visitare un sito web malintenzionato. Tuttavia Eric Sites, vice presidente del Research and Development di Sunbelt, afferma che ci sarebbero numerosi modi per gli hackers di aggirare questo fattore di mitigation. Per esempio il codice exploit potrebbe venire inserito nei talkbacks dei blogs, diffondendo facilmente l'infezione a tutti i lettori.

Secondo Panda Software, i seguenti siti web usano il codice exploit della vulnerabilità:
toolbarbiz.biz, toolbarsite.biz, toolbartraff.biz, toolbarurl.biz, buytoolbar.biz, buytraff.biz, iframebiz.biz, iframecash.biz, iframesite.biz, iframetraff.biz e iframeurl.biz.

Microsoft non ha chiarito nell’advisory i suoi piani di rilascio della patch correttiva utile a proteggere gli utenti da eventuali attacchi. Come sempre Microsoft afferma: "[The fix] will include providing a security update through our monthly release process or providing an out-of-cycle security update, depending on customer needs".

Joe Wilcox, senior analyst di Jupiter Research, evidenzia come il problema di sicurezza sia scoppiato in un momento sfortunato per Microsoft. L'azienda infatti durante questo periodo di festività potrebbe non star lavorando a pieno regime, e in più la vulnerabilità sta attirando grande attenzione considerata la scarsezza di high-tech news che di solito si verifca l'ultima settimana dell'anno.


Fonte

L'allarme relativo all'exploit "zero-day" che attacca una vulnerabilità nella gesiotne dei files WMF in Windows, non accenna a placarsi e il numero di trojans e codici nocivi che sfruttano il bug di sicurezza continua a crescere velocemente.

Molti utenti hanno applicato al proprio sistema il workaround REGSRV32 che riduce notevolmente la superficie di attacco disponibile. Tuttavia F-Secure evidenzia che questo workaround inibisce l'exploit solo per Internet Explorer e Windows Explorer, non protegge gli utenti nel caso di apertura di un file infetto in MSPAINT (aka Paintbrush). Inoltre MSPAINT non riconosce l'estensione del file, quindi si consiglia di non aprire nessuna immagine col tool grafico finché il problema non sarà risolto. Se questo non bastasse il codice exploit nocivo sembra essersi diffuso anche in alcuni networks di advertising. L'Exfol adware network infatti espone immagini contenenti l'exploit in banners a rotazione. Sunbelt Softwar commenta: "You don't have to go to a crack site or a porn site ... You go to any site that is using rotational popups from a third party ad network that is spawning Exfol popups, you get exploited".

Secondo molti ricercatori di sicurezza comunque i workarounds finora disponibili sono inadeguati. È necessaria al più presto un patch correttiva risolutiva per disabilitare WMF. Microsoft da parte sua sta continuando ad analizzare il problema: "the company is looking thoroughly at all instances of WMF handling as part of the investigation".

AV-Test, che esegue tests sui prodotti anti-malware, ha finora analizzato 73 varianti di files WMF nocivi. I prodotti di sicurezza delle seguenti aziende riconoscono tutti i 73 codici: Alwil Software (Avast), Softwin (BitDefender), ClamAV, F-Secure, Fortinet, McAfee, ESET (Nod32), Panda Software, Sophos, Symantec, Trend Micro, VirusBuster. I seguenti prodotti invece rilevano per ora solo alcune varianti: eTrust-VET (62), QuickHeal (62), AntiVir (61), Dr Web (61), Kaspersky (61), AVG (60), Command (19), F-Prot (19), Ewido (11), eSafe (7), eTrust-INO (7), Ikarus (6), VBA32 (6), Norman (0). La differenza di capacità di detecting è dovuta all'uso del rilevamento euristico che consente di individuare le tecniche base usate dal codice nocivo invece di confrontarlo con specifici pattern.

Questo fix protegge da infezione solo in caso di esecuzione dell'exploit con Internet Explorer, Outlook, Outlook Express e Windows Explorer, impedendo il lancio automatico del Windows Picture and Fax Viewer. Programmi come MSPaint e altri software grafici che gestiscono gli WMF rimangono potenziante vulnerabili. Infine sono pervenuti reports controversi sull'efficacia di DEP (data execution protection), hardware e software, nel caso WMF. Questo exploit, non consiste in un tipico attacco overflow e non dovrebbe venire rilevato dalla protezione DEP. Nel suo advisory Microsoft comunque afferma che in XP SP2 l'abilitazione di DEP lato software potrebbe aiutare a ridurre i rischi di infezione dei PCs.


Fonte

Falla WMF: Allarme Worm

F-Secure, azienda di sicurezza antivirus, avverte di una serie di nuovi pericoli derivanti dal pericoloso exploit che attacca la vulnerabilità di Windows nella gestione dei files immagine WMF. In queste ore stanno diffondendosi messaggi di posta elettronica con oggetto "Happy New Year" capaci di infettare le macchine Windows vulnerabili molto facilmente tramite l'uso di un nuovo codice exploit per WMF.
Le e-mail untrici hanno come oggetto "Happy New Year" e corpo "picture of 2006" e includono il codice d'attacco in allegato, chiamato "HappyNewYear.jpg". F-Secure ha classificato questo nuovo exploit come PFV-Exploit.D. Quando il file infetto HappyNewYear.jpg viene eseguito (tramite apertura del file, anteprima in una cartella, o indexing in Google Desktop), un backdoor Bifrose (Backdoor.Win32.Bifrose.kt) viene scaricato da www[dot]ritztours.com ed eseguito sul sistema vittima. Inoltre il nuovo tipo di codice exploit per la vulnerabilità è stato reso pubblico sul web. Il nuovo Windows Metafile (WMF) "SetAbortProc" (PFV-Metasploit) exploit è molto più avanzato e quindi pericoloso di quelli precedenti. Il fatto che sia ora disponibile in rete contribuisce a rendere il problema di sicurezza relativo ai files WMF estremamente critico. In assenza di una patch ufficiale per la vulnerabilità, centinaia di milioni di computer connessi alla rete sono al momento assolutamente indifesi.


Continua Qui

Allerta Exploit WMF: I Dettagli


F-Secure ha pubblicato nuovi dettagli sulla vulnerabilità di Windows nei files WMF, che in questi giorni sta esponendo a rischio di attacco milioni di utenti della rete.

Mikko Hyppönen, chief research officer di F-Secure, spiega che il problema legato alla vulnerabilità WMF non è rappresentato da un vero e proprio bug ma da una cattiva qualità di programmazione del codice.

Quando fu concepito il formato Windows Metafile venne integrata nei files la possibilità di contenere codice eseguibile. Questo codice viene richiamato ed eseguito in particolari scenari tramite funzioni di callback. Non si tratta quindi di un bug ma di una errata implementazione di una funzionalità, in quel momento ritenuta utile. Questa funzione è chiamata Escape() , più precisamente il codice exploit nocivo sfrutta la sottofunzione SetAbortProc, concepita per essere richiamata da Windows nel momento in cui un print job dovesse venire cancellato durante la fase di spooling.

Questo secondo F-Secure significa che:
1) Esistono probabilmente altre funzioni vulnerabili nei files WMF oltre a SetAbortProc
2) Il problema è presente in tutte le versioni di Windows, a partire da Windows 3.0 (uscito nel 1990)
La vulnerabilità probabilmente affligge più computers di qualsiasi altra falla di sicurezza, da sempre.


Continua Qui

Allarme Rosso

Segnalo con particolare urgenza, affinchè oguno possa prendere gli opportuni provvedimenti, i problemi relativi alla falla WMF già precedentemente evidenziata nel portale di Wintricks con la news del 28 dicembre 2005 "Rischi Di Fine Anno" visibile a questo link: http://www.wintricks.it/news1/article.php?ID=4404

Ecco la prima patch non ufficiale che pone rimedio alla pericolosa vulnerabilità di Windows. Da installare al più presto!

La falla nella libreria di decodifica delle immagini sta assumendo dimensioni davvero apocalittiche.

Microsoft non ha ancora rilasciato una patch ufficiale, anche se la si aspetta con certezza per l'aggiornamento mensile del 9 gennaio.

Nel frattempo stanno fioccando un po' ovunque nuove varianti (una cinquantina almeno, secondo alcuni osservatori) delle immagini velenose: questo proliferare di file ha messo in crisi i principali antivirus, che non riescono a mantenere aggiornate le definizioni antivirali per intercettare tutte le variazioni sul tema.

Da una scansione effettuata da Megalab (vedi immagine) gli Antivirus in grado di proteggere sono davvero pochi

Uso Firefox: sono al sicuro?
E' bene capire che si tratta di una (pericolosissima) falla del sistema operativo, e non di Internet Explorer: come tale, si è potenzialmente esposti all'attacco qualunque navigatore sia in uso.

Al contrario di Internet Explorer però FireFox non lancia immediatamente il visualizzatore di immagini, e quindi non compromette istantaneamente il sistema: una volta salvato il file localmente però l'exploit viene mandato in esecuzione.

Il DEP mi protegge?
Stanno circolando in Rete notizie poco corrette riguardo alla protezione che potrebbe garantire la funzione di Data Execution Prevention introdotta dal Service Pack 2 di Windows XP: è bene precisare che questa protezione è attiva solamente in caso anche il processore sia predisposto, cioè di fatto solo gli ultimissimi modelli.

Nelle prove che ho condotto ad esempio, il mio Athlon XP 3000+ ha mostrato di non supportare tale funzionalità, e l'exploit viene eseguito comunque. Stando ad un comunicato di AMD solo i processori di classe Athlon 64 includono questa funzione: anche in questo caso però, varie testimonianze piuttosto affidabili confermano che non sempre il meccanismo funziona correttamente.

Insomma, la strada DEP non è al momento una soluzione accettabile.

La prima patch non-ufficiale
Il SANS Institute ha presentato la prima patch non ufficiale per questa debolezza: secondo i test di MEGALAB, effettuati anche su Windows XP Service Pack 2 italiano, la correzione è effettivamente funzionante, e permette di arginare il problema.

Sebbene sia solitamente sconsigliabile installare aggiornamenti non-ufficiali (soprattutto in ambiente aziendale) vista la pericolosità della debolezza in questione raccomandiamo di eseguire quanto prima il setup su tutti i sistemi che dispongano di un accesso ad Internet, tanto quelli domestici quanto quelli enterprise.

La patch NON ufficiale che dovrebbe risolvere il problema, è qui disponibile per il download:

http://www.wintricks.it/

Microsoft WMF Patch il 10 Gennaio

Microsoft ha annunciato di aver completato lo sviluppo di un security update per correggere la vulnerabilità nei files WMF attaccata in questi giorni da un pericoloso exploit (e varianti) diffusosi sul web, che colpisce gli utenti Windows e anche i sistemi più recenti e aggiornati.


Il security update sta ora venendo testato profondamente cosa che ne assicurerà la qualità e la compatibilità con i vari applicativi. Microsoft prevede di rilasciare l'update Martedì 10 Gennaio, come parte della release mensile dei suoi security bulletins ("Patch Day").

Based on strong customer feedback, all Microsoft’s security updates must pass a series of testing processes, including third-party testing, to assure customers that they can be deployed effectively in all languages and for all versions of the platform with minimum down time. Come regola generale Microsoft sconsiglia di installare patch non ufficiali realizzate da terzi. Questo perchè non ne può garantire qualità e compatibilità.

La patch sarà resa disponibile a livello mondiale simultaneamente in 23 lingue per tutte le versioni affette di Windows. L'aggiornamento si potrà ottenere tramite Microsoft Update, Windows Update, Microsoft Download Center e Windows Server Update Services per gli enterprise customers. Per annunciare il prossimo security update Microsoft ha rilasciato un comunicato stampa e ha aggiornato il Security Advisory 912840, precedentemente pubblicato per informare gli utenti del problema di sicurezza. Anche Kevin Kean del Microsoft Security Response Center ha postato una nota a riguardo nel Blog ufficiale del suo team.


Microsoft ha monitorato i tentativi di exploit della vulnerabilità WMF fin da dalla sua disclosure pubblica avvenuta la scorsa settimana. Nonostante la gravità del problema sia alta a causa dei diffusi tipi di attacchi che sfruttano la falla, i dati provenienti dal Software Security Incident Response Process (SSIRP) di Microsoft riportano una superficie di attacco comunque limitata. In aggiunta, il rischio di attacchi è effettivamente mitigato dalla disponibilità di signatures antivirus aggiornate per la gran parte dei programmi di sicurezza che proteggono efficacemente dall'exploit WMF.



Fonte

http://www.corriere.it/Primo_Piano/Scienze_e_Tecnologie/2006/01_Gennaio/03/microsoft.shtml

Riassunto

Finché Microsoft non avrà rilasciato il programma per turare la nuova falla nella sicurezza di Windows XP (forse entro il 10 gennaio 2006) vi suggeriamo di utilizzare questa semplice procedura.
Per disattivare TEMPORANEAMENTE il visualizzatore di immagini WMF (si disattiva l'anteprima delle immagini WMF) andiamo in Start – Esegui e digitiamo quanto segue:
regsvr32 /u shimgvw.dll
Riceveremo il messaggio “DllRegisterServer in shimgvw.dll riuscito”. Diamo Ok e avremo disattivato il Visualizzatore.
Qualora, invece, lo si voglia riattivare (ad esempio perché in Risorse del computer non viene più mostrata l'anteprima delle immagini memorizzate su disco), è sufficiente cliccare su Start - Esegui e digitare:
regsvr32 shimgvw.dll
Le modifiche avranno effetto immediato.

io non l'ho provato, sul sito sotto indicato si.

Update for Microsoft Windows Metafile Vulnerability

Avviso di Sicurezza



Microsoft Security Bulletin MS06-001