Уязвимость обработчика WMF

Вы наверняка уже слышали об атаках через уязвимость в обработчике файлов формата WMF.

Сейчас опасные WMF-файлы встречаются на десятках веб-сайтов. Вдобавок к эксплойту уязвимости в WMF, эти сайты распространяют так называемые «антишпионские приложения» (за них пользователям нужно платить) и прочие, уже известные вредоносные программы (вроде Trojan-Spy.Win32.Small.ee).

Мы, разумеется, изучили новую уязвимость и пришли к некоторым любопытным выводам.

Так, на первый взгляд, использование «железной» Data Execution Protection, доступной владельцам XP SP2 и процессоров с поддержкой NX-bit (AMD) или XD-bit (Intel), предотвращает срабатывание эксплойта.

Мы проверили это предположение на платформах AMD и Intel и, как оказалось, HW DEP действительно останавливает атаку на Internet Explorer и Windows Explorer. Однако даже включенный для всех приложений HW DEP не смог остановить срабатывание эксплойта в программах для просмотра изображений Irfanview и XnView. Дело в том, что Irfanview и XnView упакованы ASPack, а Windows отключает HW DEP для упакованных ASPack исполняемых файлов.

Таким образом, несмотря на то, что HW DEP помогает отразить атаки в отдельных случаях, на роль полноценной защиты она не годится.

Еще одной опасной особенностью новой уязвимости является ее независимость от действующих в системе NTFS-прав.

Некоторые пользователи предпочитают работать под ограниченным пользовательским эккаунтом (он включает в себя ограничение прав на работу с файлами в файловой системе NTFS). Таким образом они стараются защититься от вредоносных программ, большинство которых неработоспособно вне эккаунта администратора. В случае с WMF-уязвимостью это не помогает.

Атакующие прекрасно осведомлены об этой особенности WMF-уязвимости, и скачиваемая через уязвимость вредоносная программа будет запускаться из папки, из которой для текущего пользователя разрешен запуск приложений.

Наше тестирование также показало, что хоть Windows 2000 и не уязвима по умолчанию, она является уязвимой потенциально. Если в системе Windows 2000 установлен просматриватель изображений формата WMF, то есть внушительная вероятность, что подобная система также окажется уязвимой.

Причина заключается в том, что просматриватели картинок типа Irfanview и XnView используют для показа WMF-изображений уязвимые системные файлы, из-за чего эксплойт успешно срабатывает на Windows 2000 с SP4 и всеми последующими патчами.

Есть и небольшая ложка меда: Internet Explorer должен как минимум один раз спросить вас, хотите вы открыть или же сохранить WMF-файл вместо того, чтобы сразу открывать его по умолчанию.

WinXP Pro64 bit edition тоже уязвима. Однако весь shell-код эксплойта написан для IA32-процессоров и работать под WinXP 64-bit он не будет. Для этого в эксплойт необходимо добавить код для x64-процессоров. Но поскольку число пользователей WinXP Pro64 bit edition не слишком велико, то вряд ли злоумышленники станут это делать.

Мы добавили в антивирусные базы эвристический детекшен для опасных WMF-файлов, содержащих новую уязвимость — подобные подозрительные файлы будут детектироваться как Exploit.Win32.IMG-WMF.