細(xì)說WMF漏洞

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

WMF漏洞的性質(zhì)是什么？哪些系統(tǒng)會(huì)受到感染？

最近一個(gè)多星期來，IT人員一直在竭力阻擋與最近披露的Windows元文件（WMF）漏洞有關(guān)的攻擊。為此，《Computerworld》的安全欄目編輯Angela Gunn整理出了一份全面的常見問題（FAQ），介紹該漏洞的工作原理、哪些系統(tǒng)會(huì)受到感染以及可以采取的對(duì)策。

問題所在

這是什么樣的漏洞？這是涉及WMF文件的重大安全漏洞。針對(duì)該漏洞的不法分子可以利用WMF文件在目標(biāo)機(jī)器上運(yùn)行惡意代碼——利用間諜軟件進(jìn)行感染、竊取數(shù)據(jù)，或者把該機(jī)器加入到僵尸網(wǎng)絡(luò)當(dāng)中。這個(gè)問題存在已有多年，但直到2005年12月底才公布被人發(fā)現(xiàn)。

哪些版本的Windows易受攻擊？微軟聲明，該漏洞存在于Windows 98以后的所有版本的Windows，不過實(shí)際上，只有安裝的XP和Server 2003可能會(huì)有問題。安全公司Secunia證實(shí)，下列系統(tǒng)面臨危險(xiǎn): Microsoft XP Pro、Microsoft XP Home、Microsoft Windows Server 2003數(shù)據(jù)中心版本、Microsoft Windows Server 2003企業(yè)版本和Microsoft Windows Server 2003標(biāo)準(zhǔn)版本。

Mac、Linux或者Unix系統(tǒng)易受攻擊嗎？這還用問？它們當(dāng)然安全多了。

實(shí)際情況

是不是任何實(shí)際的惡意軟件都針對(duì)這個(gè)漏洞？漏洞編寫者從來就不會(huì)休息，也不會(huì)放慢腳步。截至1月4日，CastleCops.com的討論版上列出的已知漏洞已有73個(gè); 而迄今為止，防病毒公司Sophos報(bào)告的攻擊方法已超過200種。

漏洞是如何傳播的？凡是關(guān)注惡意軟件領(lǐng)域的人對(duì)感染途徑都不會(huì)陌生: 從電子郵件或者即時(shí)消息里面打開的圖形或者可執(zhí)行文件、惡意或者受危及的網(wǎng)站、虛假的電子賀卡、虛假的系統(tǒng)信息等等。防病毒公司已發(fā)現(xiàn)了一種名為WMFMaker的獨(dú)立實(shí)用程序會(huì)迅速構(gòu)建惡意的WMF。據(jù)了解，該程序被用于漏洞的第一輪行動(dòng)當(dāng)中。

漏洞的攻擊順序如何？用戶點(diǎn)擊WMF文件后，該文件就會(huì)調(diào)用shimgvw.dll庫; 該庫進(jìn)而調(diào)用gdi32.dll庫里面的Escape()函數(shù)。Escape()有一個(gè)名為SETABORTPROC的子函數(shù)，它讓用戶可以在假脫機(jī)操作期間取消來自不同應(yīng)用里面的打印任務(wù)。該漏洞針對(duì)的目標(biāo)就是SETABORTPROC。它會(huì)導(dǎo)致緩沖器溢出，從而讓目標(biāo)計(jì)算機(jī)運(yùn)行文件WMF里面的惡意代碼。

DLL和函數(shù)會(huì)進(jìn)行什么操作？

● Shimgvw由Windows圖片和傳真查看器（Picture and Fax Viewer）使用，Windows的這個(gè)默認(rèn)程序可以查看眾多文件格式。包括Mozilla在內(nèi)的其他應(yīng)用程序也依靠這個(gè)DLL。

● 如微軟介紹的那樣，Windows圖形顯示界面（GDI）“使應(yīng)用程序能夠使用視頻顯示和打印機(jī)上的圖形和格式化文本?；谖④沇indows的應(yīng)用程序不會(huì)直接訪問圖形硬件; 相反，GID代表應(yīng)用程序與設(shè)備驅(qū)動(dòng)程序進(jìn)行聯(lián)系。GDI可以用于基于Windows的所有應(yīng)用程序?！?

● Escape()函數(shù)把來自GDI庫的某些調(diào)用轉(zhuǎn)換至訪問某個(gè)設(shè)備（如掃描儀或者打印機(jī)）的驅(qū)動(dòng)程序。

● SETABORTPROC提供了較新版本的Windows和較舊的16位版本之間的兼容性，從而使之成為所謂的向后兼容或者“回歸”錯(cuò)誤。

漏洞的有效載荷是什么？可以是各種類型的可執(zhí)行文件，但迄今為止，有效載荷似乎主要是廣告軟件和間諜軟件這兩類。有些版本試圖把受感染機(jī)器加入僵尸網(wǎng)絡(luò)，大概是為了以后用來實(shí)現(xiàn)陰謀。賽門鐵克聲稱，名為PWSteal.Bankash.G的一種漏洞攜帶能竊取口令的特洛伊木馬，它還會(huì)企圖通過隨機(jī)性的TCP端口打開代理服務(wù)器。

這跟早在去年11月的漏洞是不是同一回事？不是，那是另一個(gè)問題，會(huì)影響WMF和EMF（擴(kuò)展元文件）兩種格式。對(duì)時(shí)時(shí)關(guān)注安全的人來說，早些時(shí)候的那個(gè)漏洞在微軟的安全公告MS05-053里面有所描述。微軟的安全公告912840介紹了這個(gè)新問題。針對(duì)早些時(shí)候的漏洞發(fā)布的補(bǔ)丁解決不了這個(gè)新問題。

現(xiàn)有解決方案

補(bǔ)丁會(huì)采取什么操作？據(jù)補(bǔ)丁編寫者Ilfak Guilfanov聲稱，非官方的Hexblog補(bǔ)丁可以阻止調(diào)用gdi32.dll里面的Escape()函數(shù)，這樣就無法使用易受攻擊的SETABORTPROC子函數(shù)了。運(yùn)行補(bǔ)丁后，用戶還應(yīng)該清除shimgvw.dll庫的注冊(cè)信息。Hexblog的補(bǔ)丁可以打在Win2000、XP、XP64和Win2003等系統(tǒng)上。

當(dāng)然，微軟正在開發(fā)補(bǔ)丁。發(fā)布前版本曾在開發(fā)人員的討論版上短暫露過面，后來可能因?yàn)槭谴嬖阱e(cuò)誤又被撤下了。微軟稱，發(fā)布版本要到1月10日才提供。該公司建議用戶在安裝官方補(bǔ)丁之前，先清除shimgvw.dll庫的注冊(cè)信息。

不是微軟開發(fā)的補(bǔ)丁安全嗎？微軟及Gartner公司等一些研究機(jī)構(gòu)建議系統(tǒng)管理員最好不要安裝Hexblog補(bǔ)丁，并強(qiáng)調(diào)大多數(shù)主要的防病毒軟件包已經(jīng)發(fā)布了最新的特征碼，能夠解決這問題。但其他信譽(yù)卓著的機(jī)構(gòu)如SANS Institute下設(shè)的因特網(wǎng)風(fēng)暴中心建議安裝Hexblog補(bǔ)丁。美國計(jì)算機(jī)緊急響應(yīng)小組（US-CERT）并沒有表態(tài)，但確實(shí)提供了指向Hexblog補(bǔ)丁的鏈接。

如果我單單阻擋WMF擴(kuò)展名可以嗎？不行。帶.bmp、.gif和.jpg等擴(kuò)展名的其他圖形文件可能也會(huì)成問題，因?yàn)殇秩疽嬖诖_定文件類型時(shí)檢查的是文件頭（不是擴(kuò)展名）。

單單清除shimgvw.dll庫的注冊(cè)信息可以嗎？微軟聲稱，這辦法目前可行，但外部的安全專家強(qiáng)調(diào)， 清除shimgvw.dll的注冊(cè)信息只是權(quán)宜之計(jì)，這只是調(diào)用gdi32.dll里面的函數(shù)。編寫的漏洞有可能直接調(diào)用gdi32.dll，從而感染機(jī)器。此外，使用shimgvw.dll庫的Windows圖片和傳真查看器只是查看XP和Server 2004里面的WMF和圖形文件的默認(rèn)程序。如果Google Search等桌面搜索軟件碰巧搜索到受感染的文件，這類軟件可能也會(huì)觸發(fā)漏洞，F(xiàn)-Secure公司的測(cè)試博客對(duì)此有詳細(xì)介紹。另外，IBM向Lotus Notes用戶發(fā)布公告: 該公司正在調(diào)查Notes的文件查看器是否會(huì)執(zhí)行有問題的代碼; 賽門鐵克公司似乎肯定: Notes無疑面臨風(fēng)險(xiǎn)。

如果我安裝了非官方補(bǔ)丁，如何處理官方補(bǔ)丁呢？Guilfanov聲稱，兩者之間不會(huì)有沖突，不過他還是建議用戶安裝微軟的補(bǔ)丁后把他開發(fā)的補(bǔ)丁卸載掉。該補(bǔ)丁會(huì)顯示在“添加/刪除程序”窗口里面。用戶還要記得到時(shí)清除shimgvw.dll的注冊(cè)信息。

人為因素

這個(gè)Guilfanov是何許人也？Ilfak Guilfanov編寫了IDA Pro，這個(gè)流行的反匯編程序用來在二進(jìn)制代碼層面調(diào)查這種惡意軟件。目前，他受雇于比利時(shí)的Datarescue公司，該公司在去年12月28日即WMF問題披露后一天發(fā)布了IDA Pro下一個(gè)版本的預(yù)覽版。

我該如何向不懂技術(shù)的上司或者用戶解釋這個(gè)問題？即便你已經(jīng)設(shè)法教會(huì)用戶良好的上網(wǎng)習(xí)慣（注意在電子郵件里面點(diǎn)擊的內(nèi)容、遠(yuǎn)離有問題的網(wǎng)站等等），但他們?nèi)匀菀资艿焦?，至少從理論上來說是這樣——由于惡意軟件編寫者競(jìng)相在1月10日微軟發(fā)布補(bǔ)丁之前行動(dòng)，你要?jiǎng)裼脩粼诮酉聛硪恢軕?yīng)特別小心。所有用戶在點(diǎn)擊附件（哪怕來自已知的電子郵件地址或者IM好友）時(shí)，都要小心行事。由HTML電子郵件改用純文本電子郵件也是個(gè)好辦法。使用IE瀏覽器的那些人應(yīng)當(dāng)暫時(shí)禁用下載功能，即把瀏覽器Internet區(qū)域的安全級(jí)別設(shè)為“高”。WMF文件打開之前，F(xiàn)irefox和Opera用戶會(huì)得到提示。應(yīng)當(dāng)鼓勵(lì)這些用戶不要打開文件。而對(duì)選擇使用非官方補(bǔ)丁但仍需要向本組織其他人解釋這一選擇的人來說，SANS提供了采用PDF和PowerPoint格式的簡(jiǎn)短說明。 (CCW)