1 / 14

SANS Internet Storm Center WMF-haavoittuvuuden tiedotus isc.sans Käännös: je

SANS Internet Storm Center WMF-haavoittuvuuden tiedotus http://isc.sans.org Käännös: http://je.org. Alustus. Mitä ovat WMF-tiedostot ja mitä vikaa niissä on? Kuinka haavoittuvuutta käytetään tällä hetkellä? Kuinka voin suojautua? Mitä tulee tehdä, jos saan tartunnan?

xantha-cleveland
Download Presentation

SANS Internet Storm Center WMF-haavoittuvuuden tiedotus isc.sans Käännös: je

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. SANS Internet Storm Center WMF-haavoittuvuuden tiedotus http://isc.sans.org Käännös: http://je.org

  2. Alustus • Mitä ovat WMF-tiedostot ja mitä vikaa niissä on? • Kuinka haavoittuvuutta käytetään tällä hetkellä? • Kuinka voin suojautua? • Mitä tulee tehdä, jos saan tartunnan? Päivitykset ja linkit epäviralliseen korjaukseen, katso http://handlers.sans.org/jullrich/wmffaq.html http://je.org/wmffaq

  3. Tietoja Internet Storm Centeristä • Cooperative Incidents Response Community • Vapaaehtoisvoimin toimiva (noin 40 ISC käsittelijää) • toimittajariippumaton • operoi suurinta maailmanlaajuista • operating the largest worldwide sensoriverkkoa, DShield.org. • riippuvainen lukijoiden ja vapaaehtoisen suurista vapaa-ajanuhrauksista.

  4. Mitä ovat WMF-tiedostot? • WMF = Windows Meta File. • Microsoftin oma kuvatiedostomuoto. • Vektorigrafiikkaformaatti. Soveltuu muodoille ja viivagrafiikkaan, jota tarvitsee skaalata. Käytetään usein Microsoftin toimisto-ohjelmissa. • Kuvan sisältö on kuvattu toimintoina, jotka piirtävät viivoja ja bittikarttoja. • WMF-kuvat voivat suorittaa järjestelmän toiminnallisuuksia.

  5. Mikä vika WMF-kuvissa on? • Mielivaltainen toiminto voidaan määritellä osaksi “SETABORTPROC” koodia. • Tämä koodi suoritetaan aina, kun kuvaa katsotaan. • 'SETABORTPROC' toiminto suunniteltiin kutsuttavaksi kun tulostustyö haluttiin keskeyttää. • Kuvat käsittelee dynaamisesti ladattava kirjasto (DLL) nimeltä “shimgvw.dll”. Tämä DLL välittää kuvan kirjastolle “gdi32.dll”, joka suorittaa koodin.

  6. Miksi tämä on pahempi kuin muut haavoittuvuudet? • Korjausta tai yksikertaista kiertotapaa ei ole. (Microsoft on ilmoittanut julkistavansa korjauksen 10.1.2006) • Haavoittuvuuden hyväksikäyttä ei vaadi lainkaan tai vaatii hyvin vähäisiä toimenpiteitä käyttäjältä. • Kuvia pidetään turvallisina, eikä käyttäjiä arveluta niiden avaaminen. • Haavoittuvuutta käytetään jo hyväksi vahingoittavasti. • Vahingollisia kuvia on vaikeaa havaita, koska paha koodi voi sijaita missä tahansa kuvatiedostossa. • Tiedostopäätteellä ei ole merkitystä. Esikatselu/ikonien näyttö aktivoivat haittaohjelmakoodin. Indeksointisovellukset voivat aktivoida koodin ilman käyttäjän toimenpiteitä.

  7. Kuinka haavoittuvuutta käytetään? • Haavoittuvutta käyttäviä kuvia lisätään kaapatuille www-sivustoille. • Kuvia lähetetään Instant Messengerillä. • Kuvia lähetetään sähköpostitse. • Haavoittuvuutta hyväksikäyttäviä kuvia käytetään useiden eri haittaohjelmatyyppien asentamiseen: • takaovet / botit • vakoiluohjelmat • näppäilyt tallentavat ohjelmat • mainostusohjelmat • kaikki yllämainittu

  8. Kuinka voin suojautua? • Microsoft ei tarjoa minkäänlaista korjausta tällä hetkellä. • Epävirallisen korjauksen on tehnyt Ilfak Guilfanov. Korjauksen ovat tarkistaneet ISC käsittelijä Tom Liston ja F-Securen antivirus-laboratorio. • Poista haavoittunut kirjasto käytöstä estääksesi koodin suorituksen. • Tällä hetkellä epävirallinen korjaus ja DLL-kirjaston poistaminen käytöstä ovat parhaat ratkaisut haavoittuvuuden hyväksikäytön estämiseen. Suosittelemme molempien tekemistä.

  9. Miksi sekä kirjaston poisto, että korjaus ? • Kirjaston poistaminen käytöstä poistaa DLL:n joka käsittelee WMF-kuvia. • Tämä ei kuitenkaan korjaa varsinaista haavoittuvuutta GDI32.dll -kirjastossa. • Korjaus estää haitallisen koodin suorittamisen muokkaamalla DLL-kirjaston muistissa olevaa versiota. Varsinaiseen levyllä olevan DLL-kirjastoon ei kosketa. • Molemmat vaaditaan, jotta saadaan paras suojaus. • Sivutuloksena shimgvw.dll-kirjaston poistaminen käytöstä aiheuttaa, sen että joidenkin ohjelmien ns. thumbnail-toiminnot eivät toimi.

  10. Muita ratkaisuja • Palomuurit: Tyypillisesti sisällön tarkistuskyvyt ovat rajoittuneet. Mahdollinen ratkaisu on rajata käyttöön vain pieni määrä luotettuja sivustoja. • Virustorjunta: Virustorjuntaohjelmien valmistajat työskentelevät tunnistaakseen hyväksikäyttöjen eri versiot. Tällä hetkellä kaikki valmistajat eivät pysty tunnistamaan kaikkia eri versioita. • Rajoitetut käyttäjätunnukset: Rajoitetut käyttäjätunnukset voivat rajoittaa vahinkoa, mutta eivät estä mahdollista tartuntaa tapahtumasta. • Data Execution Protection (DEP): Toimii vain jos koneen prosessori tukee sitä (esim. AMD64).

  11. Muita ratkaisuja (2) • Pelkkien .WMF-kuvien pysäyttäminen ei riitä, koska tiedostopäätteellä ei ole merkitystä. WMF tiedosto tunnistetaan niiden alussa olevan erityisen tunnisteen perusteella. • Muun kuin Internet Explorer käyttö auttaa vain vähän, koska kyse ei ole varsinaisesta IE:n haavoittuvuudesta. • Haavoittuvan DLL-kirjaston poistaminen toimii, mutta pitää tehdä oikein (sen jälkeen kun Windows File Protection on kytketty pois päältä) • DLL-kirjaston poistaminen käytöstä on ok, mutta jokin sovellusta saattaa ottaa sen takaisin käyttöön.

  12. Mitä jos koneesi saa tartunnan? • Eristä tartunnan saanut kone. • Toimi normaalien tartuntatapauksien ohjeiden mukaan. • Soita Microsoftin tukeen 1-866-PCSAFETY. • Useimmat hyväksikäytöt asentavat ylimääräisiä haittaohjelmia. • Virustorjunta voi tunnistaa osan haittaohjelmista, mutta ei välttämättä kaikkia. • Täydellinen palautus voi olla vaikeaa tai jopa mahdotonta. Palautus tuoreilta varmistuksilta on suositeltavaa.

  13. Mistä löytyy lisätietoja? • Internet Strom Center: http://isc.sans.org • FAQ: http://isc.sans.org/diary.php?storyid=994 • List of WMF related diaries: http://isc.sans.org/diary.php?storyid=993. • Microsoft: • http://www.microsoft.com/technet/security/advisory/912840.mspx • Je.Org: FAQ: http://je.org/wmffaq

  14. Kiitos! Tätä työtä ei olisi voitu tehdä ilman lukuisien lukijoiden apua, Ilfakin epävirallista korjausta, eikä ilman ISC:n vapaaehtoisia! Päivityksiä varten katso http://isc.sans.org ja http://je.org Ilmoita kaikista hyväksikäyttöyrityksista, päivityksistä tai lisätiedoista http://isc.sans.org/contact.php

More Related