WMF FAQ (中文版)

[psac]

WMF FAQ (中文版)
翻譯自ISC WMF FAQ英文版。

為什麼這個問題很重要？

WMF漏洞利用程序使用圖片(WMF 圖片)來執行任意程式碼。在我們觀看圖片的時候它就會執行。大部分情況下，不需要經過點擊。甚至儲存於在系統中的圖片也會被索引系統觸發而執行。在檔案總管中以圖示方式檢視也會導致惡意程式碼的執行。


使用Firefox或者IE會更好嗎？

IE會在瀏覽圖片的時候，不經過任何警告就導致惡意程序執行。新版本的Firefox會在開啟圖片之前提示是否執行。不管怎樣，大部分情況下這只會起到很少的保護作用，因為圖片總是被視為「安全」的。


影響到哪些版本的Windows？

所有版本。Windows 2000, Windows XP, (SP1 and
SP2), Windows 2003. 所有版本都會有一定程度的影響。Mac OS-X, Unix 和
BSD 不受影響。

注意：如果你還在使用Win98/ME，這是一個分水嶺：我們相信（沒有經過測試）你的系統是有漏洞的，而且微軟不會提供修正檔。其它的選項很少，看來真的需要昇級了。


怎樣才能保護自己？

微軟還沒有發怖修正檔。Ilfak Guilfanov提供了一個非官方的修正檔。經過SANS的Tom Liston審查和測試的版本可以從這裡下載(現在是v1.4, MD5: 15f0a36ea33f39c1bcf5a98e51d4f4f6), PGP 簽名(signed with ISC key)在這裡 here. 感謝Ilfak Guilfanov提供這個修正檔！！
可以註銷相關的DLL。
病毒檢測程式提供了一些防護。
註銷DLL:

點擊「開始」，點擊「執行...」，輸入「regsvr32 -u
%windir%\system32\shimgvw.dll」（不要引號，路徑在%windir%\system32\shimgvw.dll），點擊確定。
出現一個對話視窗驗證註銷程序成功。點擊「確定」關閉對話視窗。
現用的「最佳實踐」是同時註銷DLL和安裝非官方修正檔。


非官方修正檔的工作原理怎樣？

wmfhotfix.dll會注入到任何載入user32.dll的工作中。這個DLL會修補（在記憶體中）gdi32.dll的Escape()函數，從而使得工作忽略任何使用SETABORTPROC (ie. 0x09) 參數的使用。這將允許Windows程序顯示WMF文件，但是阻止惡意程式碼的執行。這個版本的修正檔來源碼經過了仔細的檢查，並對所有版本的惡意程序進行了測試。可以在WinXP (SP1,SP2)和 Win2K系統中使用。


註銷DLL（不使用非官方修正檔）可以提供足夠的防護嗎？

可能行，但不是十分安全。需要明確的是：我們有很強的預感，簡單的註銷shimgvw.dll並不總是有效的。.dll會被惡意程序或者其它安裝的程序重新註冊，這就可能導致在這些重新註冊了DLL的系統中允許惡意程式碼的執行。另外一種可能是存在其它利用gdi32.dll中Escape()函數的攻擊方法。在微軟的修正檔發怖之前，我們建議在註銷shimgvw.dll的同時使用非官方修正檔。


是否應該僅僅移除這個DLL？

這也許不是一個壞主意，但是Windows的文件保護機制可能會使它重新回來。你需要首先關閉Windows的文件保護功能。並且，官方修正檔出來後需要取代這個DLL。（改名，而不是移除可能對將來的恢復更好）。


是否我應該阻止任意 .WMF圖片？

這可能有用，但還不夠。WMF文件使用一個特殊的文件頭來識別，並非通過其副檔名。WMF文件可以使用任意副檔名，或者嵌入到Word和其它檔案類型的文件中。


什麼是DEP（資料執行保護），這個會有說明 嗎？

Windows XP SP2中，微軟提供了DEP。它通過防止「資料段」的執行，防護很大範圍的惡意程序。然而，它需要硬體支持來很好的工作。一些CPU，例如AMD的64位CPU，可以提供完整的DEP功能，從而防止惡意程序的影響。


防病毒產品對這個漏洞的防護如何？

當前情況下，我們注意到一些版本的惡意程序不會被防病毒引擎檢測到，希望他們能很快趕上。要捕捉到所有版本的惡意程序，是一個艱苦的程序。更新反病毒系統是必須的，但可能還不夠。


惡意WMF文件會怎樣進入我的系統？

有多種方式，很難一一道盡。E-mail附件，網站和及時通信程序是最可能的來源。同時不要忘記P2P文件共享和其它來源。


告訴用戶不要訪問非信任網站是否足夠？

不，這有一定作用，但還不夠。我們知道至少有一個廣受信任的站點(knoppix-std.org)有這個問題了。該網站被增加了一個頁面框，將用戶引向一個包含惡意WMF文件的站點。「信任」網站以前就是這樣被利用的。


WMF圖片到底有什麼問題？

WMF圖片和其它圖片有些不同。其它圖片僅僅包括「某一點是何顏色」訊息，WMF圖片可以使用外部程序。其中的一個程序使用能夠可以用來執行任意程式碼。


我應該使用「降低權限」類似功能來減少這個漏洞的影響嗎？

這是肯定的。在進行日常工作時，不要使用具有超級用戶權限的帳號。但是，這只能限制這個惡意程序的影響，而不能阻止。並且：網站瀏覽僅僅是觸發惡意程序的一種方式，如果一個惡意的圖片進入你的系統，並且後來管理員使用某種方式「看」了這個圖片，就「中招」了。


伺服器有這個漏洞嗎？

也許... 你允許上載圖片嗎？郵件？這些圖片會被索引嗎？你有時在伺服器上使用瀏覽器嗎？總而言之：如果有人上傳了一個圖片到你的伺服器上，如果具有漏洞的DLL訪問了它，你的伺服器就有麻煩了。


在網路邊界/防火牆怎樣保護我的網路？

沒有很好的辦法。代理伺服器的指令碼可以過濾網站的所有圖片？可能你的用戶會不高興。如果代理具有病毒檢查功能，也許可以起作用。郵件伺服器也一樣。你給用戶發起外部連接的權限越少越好。對用戶工作站進行緊密地監控可以在工作站被感染的時候儘快得到信號。


可以使用IDS來檢測這個惡意程序嗎？

很多IDS廠商在發怖這方面的檢測規則，聯係你的廠商以獲取詳細資料。Bleedingsnort.org 在為snort用戶不斷提供並改進這些規則。


如果我中招了，怎麼辦？

沒啥特別的辦法, 。辦法依賴於具體的惡意程序種類。大部分的惡意程序會下載其它元件。這使得我們很難甚至不可能找到一種統一的方法。微軟對這個問題提供免費的支持，電話是：866-727-2389 (866 PC SAFETY).


微軟提供了什麼訊息？

http://www.microsoft.com/technet/sec...ry/912840.mspx
目前為止，還沒有提供修正檔程序。


CERT怎麼說？

http://www.kb.cert.org/vuls/id/181038
http://www.cve.mitre.org/cgi-bin/cve...=CVE-2005-4560

[psac]

WMF-exploit 真是越來越厲害了 沒用工作防護的 用最新的修正V1.3暫時頂住

YSkGtTfN.wmf, detected by:


Scanner Malware name
AntiVir X
ArcaVir X
Avast X
AVG Antivirus X
BitDefender Exploit.Win32.WMF-PFV
ClamAV X
Dr.Web X
F-Prot Antivirus X
Fortinet X
Kaspersky Anti-Virus X
NOD32 X
Norman Virus Control X
UNA X
VBA32 X


File: adult.wmf
Status:
INFECTED/MALWARE
MD5 493f28998ab6f1508155cb34467dcff1
Packers detected:
-
Scanner results
AntiVir
Found Exploit/IMG.WMF exploit
ArcaVir
Found Trojan.Downloader.Agent.Acd
Avast
Found Win32:Exdown
AVG Antivirus
Found nothing
BitDefender
Found Exploit.Win32.WMF-PFV
ClamAV
Found Exploit.WMF.A
Dr.Web
Found nothing
F-Prot Antivirus
Found nothing
Fortinet
Found W32/WMF-exploit
Kaspersky Anti-Virus
Found Trojan-Downloader.Win32.Agent.acd
NOD32
Found Win32/TrojanDownloader.Wmfex
Norman Virus Control
Found nothing
UNA
Found nothing
VBA32
Found nothing

nofficial patch for the Window's WMF issue. We have reverse engineered, reviewed, and vetted the version

MD5: 14d8c937d97572deb9cb07297a87e62a - wmffix_hexblog13.exe
PGP Signature (signed with SANS ISC key) is here

修正V1.3
http://handlers.sans.org/tliston/wmffix_hexblog13.exe

New exploit
On New Year's eve the defenders got a 'nice' present from the full disclosure community.

The source code claims to be made by the folks at metasploit and xfocus, together with an anonymous source.

Note: We have been able to confirm that this exploit works. We are in the process of getting information to AV vendors ASAP. We can also confirm that having the file and simply opening the directory can be enough to get the exploit running.

The exploit generates files:

with a random size;
no .wmf extension, (.jpg), but could be any other image extension actually;
a random piece of junk in front of the bad call; carefully crafted to be larger than the MTU on an ethernet network;

a number of possible calls to run the exploit are listed in the source;

a random trailer
From a number of scans we did through virustotal, we can safely conclude there is currently no anti-virus signature working for it. Similarly it is very unlikely any of the IDS signatures for the previous versions of the WMF exploits work for this next generation.

Judging from the source code, it will likely be difficult to develop very effective signatures due to the structure of the WMF files.
修正V1.3
http://handlers.sans.org/tliston/wmffix_hexblog13.exe

McAfee VirusScan Enterprise 8.0i 看到McAfee IntruShield前幾天的簽名裡就有了
http://knowledgemap.nai.com/KanisaSu...d=KBkb45645xml
此漏洞已經通過LJ郵件和即時通訊軟體流行，並且都是打這jpg的幌子。
已發現一個名為「Happy New Year」的LJ郵件包含圖片"picture of 2006"並且包括一個含有利用wmf漏洞的附件，名為"HappyNewYear.jpg" (MD5: DBB27F839C8491E57EBCC9445BABB755). F-secure命名為PFV-Exploit.D。當HappyNewYear.jpg下載到硬碟時，當開啟此文件或者預覽次文件或者用google桌面搜尋，此文件將執行，並從xxx.ritztours.com下載一個Bifrose後門，F-secure檢測為 Backdoor.Win32.Bifrose.kt。請在防火牆中過濾此位址。

恐怖!

首個利用wmf漏洞的即時通訊蠕蟲出現在荷蘭，利用msn傳送一個位址"http://*****/xmas-2006 FUNNY.jpg"，很有可能流行，但是目前還沒有擴大。這個jpg實際上是一個html頁面，其中含有利用wmf漏洞的惡意程式碼，Kaspersky Anti-Virus檢測為Exploit.Win32.IMG-WMF。這個wmf文件下載一個vbs文件，Kaspersky Anti-Virus檢測為Trojan-Downloader.VBS.Psyme.br，然後下載一個Sdbot，這個IRCBot被 Kaspersky Anti-Virus檢測為Backdoor.Win32.SdBot.gen，然後此IRCBot下載一個IM-Worm.Win32.Kelvir變種，而Kelvir正是通過MSN傳播的。看來此IRCBot極有可能是用以網路犯罪。

許多站點認為shimgvw.dll是缺陷文件，其實這個觀點不正確，現在看來不對，因為很有可能在一個反註冊了shimgvw.dll文件的系統上漏洞利用成功。缺陷文件看起來應該是gdi32.dll。只是反註冊shimgvw.dll讓系統稍微安全些。
新年裡，請小心圖片文件!

本文不代表本人觀點，本人只是整理KL和FL的觀點。
作者：moonforest
Windows處理圖片檔案是根據是圖片檔案的文件頭,而不是Extension.......
如果把一個WMF Exploit的Extension改做BMP, DIB, EMF, GIF, ICO, JFIF, JPE, JPEG, JPG, PNG, RLE, TIF, TIFF其中一個,Windows一樣會以處理WMF的方法去處理,到時一樣會中招........
McAfee的文件保護只靠Extension........不行的.......




這是很嚴重的問題 HTTP + STMP(MAIL) WMF+JPG 安全廠商收到令其頭痛的新年禮物
看看 24HR 的紀錄顯示