Il 28 Dicembre 2005 F-Secure ha annunciato una falla estremamente grave in Windows, che consente di infettare un computer Windows semplicemente visitando un sito Web appositamente confezionato e contenente un’immagine WMF, oppure ricevendo un e-mail e visualizzando l’immagine che vi è contenuta.
La falla è particolarmente grave e interessante perché colpisce anche gli utenti Windows che usano browser alternativi come Firefox o Opera. L’unica differenza, piuttosto importante, è che mentre chi usa Internet Explorer viene infettato direttamente appena visita il sito-trappola, chi usa i browser alternativi viene avvisato da un messaggio di allerta e s’infetta solo se risponde affermativamente al messaggio. Anche la semplice visualizzazione di una cartella contenente un’immagine infetta tramite Esplora Risorse o il Fax Viewer di Windows è sufficiente a infettare.
Sono a rischio gli utenti di Windows 98, 98 SE, Windows XP, ME, 2000, XP Pro x64, Server 2003 x64 e Server 2003. A quanto risulta finora, gli utenti di altri sistemi operativi non sono colpiti da questa falla.
Addirittura chi ha Google Desktop è ancora più vulnerabile: per infettarsi, in questo caso, è sufficiente scaricare l’immagine WMF infetta. Google Desktop, infatti, indicizza e legge subito il file scaricato e ne passa il contenuto infettante a Windows, che lo esegue automaticamente.

E’ praticamente impossibile filtrare questo tipo di attacco bloccando le immagini in formato WMF al firewall aziendale o con un antivirus, perché il codice dell’attacco è dissimulabile in mille modi differenti (rendendo impossibile il riconoscimento tradizionale degli antivirus) e la trappola funziona anche se l’estensione data all’immagine non è WMF: potreste ricevere un’immagine di nome “buon anno.jpg” e pensare che sia sicura, mentre in realtà è in formato WMF, e Windows la aprirebbe e la eseguirebbe. Quindi è inutile pensare “non apro i file WMF”: potreste aprirli senza saperlo. In pratica, qualsiasi immagine è a rischio, e questo significa che per un utente Windows, qualsiasi immagine allegata e qualsiasi sito Web contenente immagini sono a rischio.

Per il momento, in attesa che Microsoft rilasci un aggiornamento che corregga la falla (si dovrà aspettare fino al 9 Gennaio 2006 per avere il rilascio da parte di Microsoft di una patch ufficiale), è opportuno bloccare l’interpretazione delle immagini WMF. Per disabilitare il componente fallato di Windows (SHIMGVW.DLL) basta che al prompt dei comandi (Start > Esegui), digitate REGSVR32 /U SHIMGVW.DLL e riavviate Windows.
La disabilitazione è permanente fino a quando date il comando di riabilitazione, che è REGSVR32 SHIMGVW.DLL. Purtroppo questo rimedio interferisce con la visualizzazione di tutti i tipi di immagine nel visualizzatore fax e immagini di Windows, quando viene invocato da Internet Explorer: in altre parole, può risultare piuttosto scomodo (ma sempre meno scomodo che trovarsi infetti). Pare, però che alcuni programmi, come Lotus Notes, restano comunque vulnerabili!

La situazione è ritenuta talmente grave che organizzazioni autorevoli come il SANS Institute e F-Secure hanno preso la decisione senza precedenti di consigliare agli utenti di installare una patch di Windows non ufficiale oltre a disattivare il componente di Windows fallato. La patch è stata preparata da Ilfak Guilfanov e altri, ed è stata verificata dal SANS Institute, che la mette a disposizione qui.
La patch di Guilfanov è reversibile e potrà quindi essere disinstallata quando Microsoft pubblicherà la correzione ufficiale.

In alternativa è anche possibile installare la patch, anche questa non ufficiale, preparata da Future Time (che distribuisce in Italia il noto software antivirus Nod32).

Il problema di questo grave baco di Windows nasce dalla natura particolare del formato grafico WMF, che fu introdotto da Microsoft in Windows 3.0: invece di rappresentare i singoli punti di un’immagine, contiene una serie di istruzioni di disegno che spetta al sistema operativo interpretare (è un esempio di formato di grafica vettoriale, insomma). Purtroppo le istruzioni possono essere confezionate in modo maligno e Windows non è capace di bloccare queste istruzioni ostili.
Quindi la falla non è dovuta a un errore di programmazione di Microsoft, ma a una scelta tecnica ben precisa e intenzionale dell’azienda di Bill Gates: quando introdusse il formato WMF, negli anni Ottanta, Microsoft ritenne necessario consentire a un’immagine di includere codice eseguibile, in modo da poterne interrompere la stampa durante lo spooling (l’invio alla coda di stampa). A nessuno, in casa Microsoft, venne in mente che un aggressore avrebbe potuto sfruttare questa “funzione” per causare danni.
Questo è quello che i critici di Windows intendono quando parlano di un sistema operativo progettato male e senza considerare seriamente la sicurezza. La falla è rimasta in Windows per una quindicina d’anni.

Numerosi siti stanno già usando questa tecnica di attacco per infettare i computer Windows con ogni sorta di spyware e altro software ostile, compresi programmi per controllare da remoto i computer delle vittime e programmi che fingono di essere antispyware e chiedono soldi (tramite carta di credito) per eliminare l’infezione trovata nel computer.
Il sito di sicurezza Websense ha delle schermate e un filmato che mostrano il comportamento di un Windows infettato tramite questa falla, basata sull’uso di immagini nel formato WMF (Windows Metafile, da non confondere con i video in formato WMV).

Secondo F-Secure esiste già una versione che viaggia via e-mail, una versione che si diffonde tramite MSN Messenger e c’è persino un kit che consente a qualsiasi dilettante di confezionare attacchi basati su questa falla di Windows.

Riassumendo, ecco come contenere il rischio:

• Non usate Internet Explorer, ma sostituitelo con Firefox o Opera, che vi avvisano se aprite un file WMF.
• Non usate programmi di posta che visualizzano automaticamente le immagini.
• Disattivate il componente fallato (SHIMGVW.DLL): al prompt dei comandi (Start > Esegui), digitate REGSVR32 /U SHIMGVW.DLL e riavviate Windows.
• Disattivate Google Desktop, se lo usate.
• Usate la patch di sicurezza non ufficiale.
• Installate la patch Microsoft appena viene resa disponibile.

Articolo tratto dalla fonte inesauribile e completa di Paolo Attivissimo: qui e qui

Condividi