Aggiungi ad una raccolta (s) Aggiungere al salvati
  1. Ingegneria
  2. Informatica
  3. Sistemi operativi

Megalab.it - Immagini WMF di nuovo pericolose!

Megalab.it - Immagini WMF di nuovo pericolose!
Immagini WMF di nuovo pericolose!
MAILING LIST
a cura di Zane pubblicato il 30/12/2005
Visitato 913 volte, ultima visita il 03/01/2006
Una nuova falla di sicurezza in una libreria del sistema operativo espone gli utenti Windows
ad un rischio gravissimo. Mentre Microsoft appronta i rimedi, un exploit perfettamente
funzionante è già disponibile sulla rete.
Ci risiamo: a poco meno di due mesi dall'aggiornamento di sicurezza Microsoft che correggeva proprio una
debolezza nel formato WMF, è emersa una nuova, potenzialmente pericolosissima falla legata alle immagini
in questo formato.
[email protected]
Iscrivi
Rimuovi
ASSISTENZA
Il rischio è ancora una volta di Remote Code Execution : basta infatti un file creato ad hoc nel
formato grafico Windows Media File (WMF) per infettare una macchina Windows 2000/
XP/2003 bersaglio, anche in caso fossero installati tutti gli aggiornamenti di sicurezza e gli
ultimi Service Pack disponibili.
Niente eseguibile da cliccare questa volta: l'utente ostile potrebbe assaltare un sistema
semplicemente ospitando l'immagine dannosa su un sito web, o impostandola come
avatar su di un forum. Il file si presenta come un semplice documento grafico, ma è in grado in realtà di
eseguire codice: sfruttando questa vulnerabilità associata ad una backdoor o qualsiasi virus/worm è possibile
quindi prendere pieno controllo del sistema bersagliato.
Ancora: secondo alcuni esperimenti che ho compiuto in locale, basta visualizzare il file in "anteprima" nella
shell di Windows per scatenare l'exploit. Insomma, c'è poco da stare allegri...
Windows bloccato, la stampante non
funziona più o non trovi il driver giusto?
Partecipa al forum!
PUBBLICA
Un rimedio poco efficace
Il sempre eccellente US-CERT raccomanda di "Do not access Windows Metafiles from untrusted sources", cioè
di non accedere a documenti WMF provenienti da fonti non fidate: ho segnalato al team americano che questo
accorgimento non è assolutamente sufficiente.
Poiché la libreria fallata (ancora una volta GDI32.dll ) compie un analisi del file binario per selezionare il
metodo di parsing e non considera l'estensione, sarebbe sufficiente rinominare l'immagine in .gif per
aggirare il filtro: l'attacco verrebbe portato a termine comunque con successo. Potete verificare voi stessi:
create un'immagine WMF e rinominatela in .gif: fatevi doppio click sopra e il file si aprirà comunque.
Articoli | News | MegaFun
Download
Per un utente è quindi praticamente impossibile distinguere fra una vera immagine WMF ed una WMF
rinominata in .gif.
Come difendersi
Purtroppo nessuno è ancora riuscito a determinare un rimedio temporaneo veramente efficace.
Microsoft è al lavoro per trovare una soluzione al problema: fino ad allora, l'azienda raccomanda di disabilitare
il visualizzatore fax ed immagini, con il comando regsvr32 -u %windir%\system32\shimgvw.dll . Sebbene dai
nostri test sia emerso che questo non permetta di arginare il problema del tutto, lo è per rendere inerte l'exploit
che sta circolando in queste ore.
Con questa manovra però non sarà più possibile visualizzare le immagini con il visualizzatore di Windows, nè
le varie anteprime nella shell: per ritornare alla situazione precedente è necessario digitare regsvr32 %windir%
\system32\shimgvw.dll ma in questo caso il sistema sarà nuovamente vulnerabile.
Oltre a questo è importante mantenere aggiornato l'antivirus: effettuando un test su più soluzioni antivirali
mediante VirusTotal ho rilevato che quasi tutti i principali antivirus sono già in grado di rilevare
correttamente l'immagine malformata, a patto però che siano stati aggiornati di recente.
file:///C|/Documents and Settings/erik/Desktop/malicious c...cco wmf/Megalab_it - Immagini WMF di nuovo pericolose!.htm (1 of 2)05/01/2006 12.54.14
ULTIME DAL FORUM
cappello laurea..
winfixer.com..
Xbox 360 protetto come un cola..
Pioneer Ipod Car adapter, è co..
MSN messenger non visualizzo N..
Noviiremote per Windows mobile..
problemi con masterizzatore es..
dissipazione AMD Athlon64 3000..
Visualizza i nuovi topic
MEGALAB.IT CONSIGLIA
Documenti correlati
Grave falla per Windows nella gestione dei file WMF
Grave falla per Windows nella gestione dei file WMF
taormina - GiuseppeCarcione
taormina - GiuseppeCarcione
Nota Informativa computer XP Come a voi noto, Microsoft ha
Nota Informativa computer XP Come a voi noto, Microsoft ha
Il nuovo sistema operativo di Windows Seven tenta di recuperare
Il nuovo sistema operativo di Windows Seven tenta di recuperare
HTML - Esercizio n.1.5 - Suore Salesiane dei Sacri Cuori
HTML - Esercizio n.1.5 - Suore Salesiane dei Sacri Cuori
La sicurezza del tuo sistema operativo è a rischio
La sicurezza del tuo sistema operativo è a rischio
Gentile Cliente, la versione 2016A prevista per la fine del mese di
Gentile Cliente, la versione 2016A prevista per la fine del mese di
Note di Rilascio Tecnici Versione 14.30.00
Note di Rilascio Tecnici Versione 14.30.00
curriculum
curriculum
modulo scelta del Sistema Operativo
modulo scelta del Sistema Operativo
Cliccare sulla versione compatibile con il proprio sistema operativo
Cliccare sulla versione compatibile con il proprio sistema operativo
Tabella 6 Procedure di copia, verifica e ripristino per ogni singola
Tabella 6 Procedure di copia, verifica e ripristino per ogni singola
Scarica