Menu

Bezpečnost

Hrozba jménem WMF

Smutný konec pro Microsoft

Tak takový konec roku může firmě Microsoft závidět opravdu málokdo! Dne 28. prosince 2005 se objevil závažný bezpečnostní problém, který se týkal souborů typu WMF (Windows Metafile). Tento typ souborů vznikl již začátkem devadesátých let, jeho obsahem jsou grafická data, a to jak vektorová, tak rastrová. Soubor vlastně obsahuje seznam funkcí, které jsou volány a využívány pro vykreslení obrázku. V posledních deseti letech nebyly soubory WMF příliš využívány, daleko častěji se objevují soubory typu GIF nebo JPG.
Text: Pavel Baudiš, Alwil Software

Výše uvedený bezpečnostní problém není programátorskou chybou, jedná se spíše o špatný návrh struktury a funkčnosti WMF souborů. Soubor totiž může obsahovat i binární kód, který je možno velmi jednoduše spustit. To se provádí pomocí takzvané funkce Escape. Tato vlastnost se kdysi zřídka používala pro přístup ke speciálním funkcím tiskáren při tisku uložených dat. Je však velmi jednoduše zneužitelná pro šíření škodlivých programů - systémový program "Windows Picture and Fax Viewer" při zobrazování takového souboru totiž vložený kód bez problémů spustí.

Problém pro všechny...

Touto chybou jsou bohužel postiženy všechny verze Windows (včetně historických 3.x), i když ve svém implicitním nastavení se to týká zejména Windows XP (včetně SP2) a Windows Server 2003. Nepříjemné bylo to, že v době zveřejnění tohoto problému neexistovala žádná ochrana, která by spouštění vloženého kódu zabránila. Distribuce speciálně upravených WMF souborů přitom byla velmi jednoduchá a během několika hodin se takové soubory objevily na mnoha webových stránkách s pochybnou pověstí. Většinou byly tímto způsobem distribuovány trojské koně, zejména downloadery dalších škodlivých programů, takže po prohlédnutí takové stránky došlo velmi rychle ke zkompromitování daného počítače. O několik dní později se objevily WMF soubory v elektronické poště jako součást spamu, 3. ledna byl k dispozici speciální nástroj pro vytváření takových souborů (WMF Kit), v polovině ledna byla například distribuována zpráva typu Phishing, která se tváří jako oznámení banky HSBC a vyzývá k návštěvě stránky (nemající samozřejmě s bankou nic společného), jež se snaží poslat na daný počítač speciální WMF soubor. Je vidět, že problémy s těmito soubory jen tak neskončí... Závažnost této bezpečnostní díry umocňovaly dvě věci: jednak se jedná o takzvaný 0-day exploit, což znamená, že byla zveřejněna v době, kdy proti ní neexistovala žádná obrana, jednak se jednalo o dosud největší počet počítačů, které byly bezpečnostním problémem postiženy (odhaduje se, že se jedná asi o miliardu počítačů!).

Postoj Microsoftu

A jak se k celé věci postavila firma Microsoft? Po počátečním několikahodinovém kličkování vyhlásila, že oprava bude k dispozici až ve standardním balíku, který bude uvolněn druhé úterý v lednu (tj. 10. ledna). Do té doby prý musí uživatelé vydržet. Zmanipulované WMF soubory byly poměrně rychle detekovány aktualizovanými antivirovými programy, dočasným řešením bylo i odregistrování programu "Windows Picture and Fax Viewer" tak, aby se pro prohlížení WMF souborů nespouštěl, pomohlo i odfiltrování WMF souborů na firewallu.

Záplata z Ruska

Po několika dnech se objevila neoficiální záplata, vytvořená ruským programátorem Ilfakem Guilfanovem, která znemožňovala spouštění vloženého programu. Lační uživatelé ji stahovali tak intenzivně, že jeho webové stránky zcela zablokovali. Ve středu 4. ledna se na internetu objevila beta verze záplaty od Microsoftu, která pravděpodobně unikla z jeho laboratoří. Microsoft všechny vyzval, aby ji ignorovali, nicméně i to přispělo k tomu, že nakonec výslednou záplatu uvolnil dříve, než původně sliboval, a to 5. ledna. Chápu, že každý takový zásah do systému je potřeba velmi důkladně otestovat, nicméně v případě tak kritického problému měla být záplata uvolněna ještě dříve. Nyní už zbývá jen jediné - všichni uživatelé by si ji měli nainstalovat co nejdřív, pokud tak už dávno neučinili. Z předchozích zkušeností totiž vyplývá, že obrovské množství počítačů zůstává nezáplatováno, a tak ještě dlouhou dobu budou tvořit vhodné "podhoubí" pro šíření škodlivých programů. Zajímavé je i to, že řada lidí začala ihned zkoumat, zda se WMF soubory nedají zneužít i dalším způsobem. Jsem zvědav, k jakým výsledkům tento proces povede a zda se i v dalším období máme v souvislosti s WMF soubory na co těšit!

P2P sítě a bezpečnost

Odcizeny kódy japonských letišť

NetworkWorld informuje (www.networkworld.com/news/2005/120905-airport-passcodes.html) o odcizení přístupových kódů k zabezpečeným zónám na šestnácti japonských a jednom guamském letišti. Kódy byly zveřejněny na internetu. John Stith na SecurityProNews píše, že kódy byly získány z přenosného počítače, který byl nakažen virem z P2P sítě. Počítač patřil 29letému druhému pilotovi. V této souvislosti nezbývá než připomenout obdobný případ z Japonska, kde počítač zaměstnance Mitsubishi Electric Plant Engineering Corp. byl nakažen virem. Ten poté umožnil pomocí peer-to-peer sítě Winny přístup z internetu k citlivým datům uloženým na napadeném počítači. Data obsahovala např. dřívější zprávy z inspekcí jaderných elektráren včetně fotografií interiérů.
Info: zpravy.actinet.cz

Problém Symantecu

Chyba při dekompresi RAR archivu

Byla ohlášena zranitelnost v řadě produktů společnosti Symantec - jejich plný výčet naleznete na http://secunia.com/advisories/18131/. Zranitelnost je způsobena chybou v knihovně "Dec2Rar.dll"; chyba nastane při kopírování dat založených na délce pole ze sub-block hlaviček RAR archivu. Zákeřně upravený RAR archiv tak může útočníkovi sloužit jako prostředek ke spáchání BO (buffer overflow) a k potenciálnímu spuštění cizího kódu na stroji s postiženým antivirovým řešením od Symantecu. Zranitelnost byla reportovaná v Dec2Rar.dll verze 3.2.14.3, a je tedy pravděpodobné, že se týká všech produktů, jež tuto knihovnu používají. Jako (dočasné) řešení doporučuje Secunia filtrovat všechny RAR archivy na e-mailových nebo proxy branách.
Info: zpravy.actinet.cz

Digital Rights Management

Ochrana od Sony ohrožuje PC

Už v minulém čísle jsme vás informovali o "rootkitu" od Sony. Nyní se ukazuje, že celá záležitost má ještě mnohem širší pozadí. Odpůrci DRM (Digital Rights Management) to již delší dobu tušili.

Ochrana, nebo zneužití?

Účinná ochrana proti kopírování zasahuje hluboko do systému. Avšak společnost Sony BMG už nyní zašla opravdu moc daleko - tato zábavní velmoc využívá dokonce hackerské nástroje: při přehrávání některých zvukových CD od Sony BMG na PC se automaticky nainstaluje kopírovací ochrana XCP-Aurora firmy First 4 Internet jako rootkit. V praxi to znamená, že ochrana je neviditelná, zůstává aktivní, posílá data do internetu a vetře se hluboko do operačního systému.
V příslušných internetových fórech už koupi těchto cédéček doporučují hackeři. "Je to první veřejně dostupný rootkit," radují se. Neboť pomocí XCP-Aurora se dají zakrýt i škodlivé programy. První útoky už se objevily: trojský kůň Backdoor. IRC. Snyd. A zneužívá Sony DRM a na počítačích s Windows instaluje "backdoor". A k tomu ještě samotné XCP přidává vlastní (nyní už odstraněnou) bezpečnostní chybu. Horší hračka už se snad do rukou autorů trojských koní ani dostat nemohla.

Nevhodná reakce

Na bouři nevole, kterou společnost Sony vyvolala, reagovala zpočátku dost necitlivě. V rozhovoru pro rádio NRP v USA prohlásil Thomas Hesse, prezident Sony BMG Global Digital Business: "Většina lidí ani neví, co to rootkit vlastně je. Tak proč by se o to měli starat?" Skutečné svérázné pojetí bezpečnosti...
Teprve poté, co četní dodavatelé antivirů - včetně Microsoftu - klasifikovali XCP jako škodlivý software, se firma Sony podvolila: produkce hudebních CD s XCP bude zastavena a prodané kusy vyměněny. V Evropě by se však CD s XCP neměly příliš vyskytovat - snad až na některé individuální dovozy.

Další rozměr aféry

Kolem odinstalačního programu XCP, který je poskytován na webové stránce Sony, nyní vznikl nový rozruch. Jak vypátral jistý profesor informatiky na univerzitě v Princetonu, také tento program je postižen závažnou bezpečnostní mezerou.
Posledním hřebíčkem do rakve této aktivity od Sony byla informace, která se objevila na celé řadě webů. Podle dvou programátorů program XCP, který firma Sony BMG používala na ochranu CD, obsahuje i část kódu, na který se vztahuje GPL (General Public Licence). Podle této licence musí autoři, kteří kód využijí, zveřejnit informace o tomto využití. To ale firma First 4 Internet (autor XCP) neudělala. Podle našich informací obsahuje tento program některé funkce z open-source aplikace mpg123, jejímž autorem je známý DVD cracker John Lech Johansen.
Avšak nezávisle na tom, co všechno ještě vyjde na světlo, je jisté jedno - image firmy Sony už je poškozena dost a dost.
Info: www.cp.sonybmg.com/xcp www.sysinternals.com www.freedom-to-tinker.com

Linuxový červ

Útok třemi bezpečnostními mezerami

Že i Linux sužují červi, dokazuje škůdce Linux/Lupper, nazývaný také Plupii. Využívá hned tří softwarových slabin: zaprvé mezery v XML/RPC, která se vyskytuje hlavně v bloggingových nástrojích, druhým vstupním bodem je díra v opensourcovém analyzátoru AWStats, a za třetí je tu ještě chyba ve skriptovacím programu Webhints. Aktuální virové signatury červa odstraní.
Info: www.sarc.com

Chyby v produktu

Microsoft v defenzivě

I přes intenzivní úsilí na poli bezpečnosti se Microsoft opět nevyhnul nežádoucí pozornosti. Nejprve zpravodajské vody rozvlnila informace o problémech s formátem WMF, zanedlouho poté se přidaly i problémy s webovými fonty a MIME přílohami.

Pozor na fonty

Problém s fonty má poněkud hrozivý podtext. Útočníkovi totiž stačí na webové stránce připravit sadu upravených webových fontů, které mohou být i součástí reklamního banneru. Ty mu umožní napadnout systémovou paměť a poté spustit libovolný kód. Na základě práv aktuálního uživatele pak může útočník například získat přístup k celému počítači.
(www.microsoft.com/technet/security/Bulletin/MS06-002.mspx)

Riziková multimédia

Další chyba se týká zpracování MIME příloh ve formátu Transport Neutral Encapsulation Format (TNEF). Ohrožení jsou uživatelé aplikací MS Outlook a MS Exchange Server. V obou případech může útočník pomocí chyby v programech ovládnout počítač.
(www.microsoft.com/technet/security/Bulletin/MS06-003.mspx)

WMF podruhé

O WMF chybě jsme vás již několikrát informovali, ale jak se zdá, celá záležitost ještě není ukončena.
Původní chyba (http://secunia.com/advisories/18255/) se týkala MS Windows Server 2003, MS Windows XP Professional a Home Edition.
Nyní se objevila další chyba (www.securityfocus.com/archive/1/421258), která způsobí zatuhnutí procesu explorer.exe.
Microsoft tvrdí, že o chybě věděl a že ji chce opravit v dalším servisním balíčku.

NOVÉ BEZPEČNOSTNÍ MEZERY

Windows

Windows WMF/EMF

Bezpečnostní problémy při renderování grafických metasouborů (WMF) a rozšířených metasouborů (EMF) pod Windows způsobují, že systém je zranitelný.
* Microsoft už zveřejnil odpovídající záplaty, které bezpečnostní mezery zacelují.
Info: http://www.microsoft.com/technet/security/Bulletin/MS05-053.mspx

Quicktime 7

Za vysoce kritické jsou považovány mezery v aplikacích Apple Quick Time a iTunes od Applu. Většina z nich je založena na možnosti přetečení bufferu. K úspěšnému útoku stačí, aby si uživatel pustil zákeřné upravený ".mov" soubor.
* Verze Quicktime od 7.3 a iTunes 6.0.1 a výše už tyto nedostatky nemají, stačí je jednoduše stáhnout a nainstalovat.
Info: www.apple.com/support/downloads/quicktime703.html

Macromedia Flash 7

Chybějící kontrola identifikátoru typu framu umožňuje speciálním SWF souborům spouštět na napadeném počítači cizí programy.
* Buď můžete přejít na Flash ve verzi 8, nebo si můžete nahrát opravený program.
Info: www.macromedia.com/go/d9c2fe33

Linux

Suse Hned několik chyb, které mhou být mimo jiné využity při přetečení bufferu, se vloudilo do SuSE Linuxu až po verzi 10.
DPro všechny tyto chyby uveřejnil SuSE velký balík záplat, který je možno stáhnout přes FTP.
Info: http://lists.suse.com/archive/suse-security-announce/2005-Nov/0001.html

Odkud pochází spyware

Téměř celá jedna třetina všech spywarových programů se zrodila v USA. Nezanedbatelné líhně však představují také Rusko, Čína a Polsko.

Graf:

Ostatní 20 %
USA 31 %
Rusko 18 %
Čína 13 %
Polsko 12 %
Velká Británie 3 %
Německo 3%

KRÁTCE

Phishingové útoky na uživatele služby PayPal

Autor podvodné zprávy nabádá adresáta, aby si nainstaloval "bezpečnostní nástroj". Pokud uživatel služby PayPal této výzvy uposlechne, obdrží EXE soubor, který přepíše jeho DNS server. Napříště se tak místo na stránce služby PayPal ocitne na phishingové stránce.
Info: www.websense.com

Ochrana pro mobily se Symbianem

Firma Trend Micro uvádí na trh ochranu pro mobilní přístroje Mobile Security 2.0. Ta je zaměřena proti červům a spamovým SMS na přístrojích s operačním systémem Symbian. Zájemci mohou program bezplatně zkoušet po dobu 30 dnů.
Info: www.trendmicro.com

Phishing s Googlem

Uživatelé Googlu, pozor! Pokud vám stránka vyhledávače nabízí výhru 400 dolarů, byli jste právě uneseni na falešnou adresu. V dalším kroku máte zadat číslo své kreditní karty - žádné peníze samozřejmě nedostanete, zato číslo vaší karty skončí v rukou podvodníků.
Info: www.websense.com

Skype

VoIP jako vstupní brána do PC

Ve VoIP klientovi Skype se otevřely bezpečnostní mezery.
Odkazy začínající na "skype://" nebo "callto://" tak mohou být zneužity ke spouštění programů na cizích počítačích. Podobně je tomu u VCards například v Outlooku. Tyto chyby se omezují na Windows; k nim je ovšem třeba připočítat ještě chybu přetečení bufferu, která postihuje všechny platformy. Skype už uveřejnil záplaty.
Info: www.skype.com/download

Falešná záplata

Pozor na patch pro Plug & Play

V podobě e-mailu koluje zfalšovaná bezpečnostní aktualizace od Microsoftu. Předmět zprávy zní "Critical Update for Plug and Play devices MS05- 4791k". Odesílatel poukazuje na mezery služby Plug & Play ve Windows a vyzývá ke stažení záplaty z udané adresy. Pokud adresát uposlechne, obohatí svůj systém o trojského koně jménem "plugandplayfix.exe". Obrana je snadná: vymazat e-mail.
Info: www.websense.com

Zranitelný antivir

Aktualizujte si McAfeee

McAfee SecurityCenter verze 6, McAfee řady 4, 8 a 9 a McAfee VirusScan Professional řady 7 a 8 obsahují chybu, která umožní vzdálenému útočníkovi zkompromitovat systém. Zranitelnost spočívá v tom, že knihovna "mcinsctl.dll" (ve verzi 4.0.0.83) může zavolat ActiveX v libovolně doméně. Knihovna používá objekt "MCINSTALL. McLog", který umožňuje zapisovat do logovacího souboru. Tímto postupem může útočník vytvořit libovolné soubory nebo k již existujícím souborům připojit vlastní obsah, případně vytvořením souboru ve startovacím adresáři může spustit libovolný kód. K úspěšnému zneužití této zranitelnosti je třeba, aby uživatel navštívil zákeřně upravenou stránku. Chyba byla opravena přes automatické updaty.
Info: zpravy.actinet.cz

Nové testy

Proaktivní metody detekce

Na stránkách www.av-comparatives.org lze najít nový listopadový test proaktivních metod detekce počítačové havěti. Jednoduše řečeno, testuje se účinnost starších verzí antivirových programů na "nových" virech (a havěti obecně). Autor testu, rakušan Andreas Clementi postahoval začátkem srpna 2005 tehdy nejaktuálnější verze všech možných antivirových systémů a tyto si pečlivě uschoval, tj. "zmrazil" jejich podobu k určitému dni. Zároveň začal sbírat novou havěť (viry, trojany...), která po tomto datu vznikla. Ve výsledku tak vznikla sbírka škodlivých kódů - malware - havěti, která by měla být pro jakýkoliv antivirus velkou neznámou. ALE, jelikož doba pokročila a k dispozici máme antivirové systémy s heuristickou analýzou, generickou detekcí apod., jsou některé antiviry schopné i se starou "zmraženou" aktualizací detekovat některou novější havěť. Za zmínku určitě stojí, že vítězem těchto testů je NOD32 od Eset Software.


Dokumenty ke stažení