vlan.org

Webzine des anciens étudiants de l’IUT Serecom St-Raphaël

Accueil > Actu > Faille WMF Windows : la situation s’aggrave

Faille WMF Windows : la situation s’aggrave

mercredi 4 janvier 2006

Une nouvelle exploitation de la faille des images WMF a été décrite. D’autre part l’ensemble des informations actuellement disponible montre une situation assez critique.

Ce nouveau malware se présente sous la forme d’un fichier avec l’extension .jpg pour tromper l’utilisateur, mais c’est un authentique fichier WMF qui est interprété comme tel grâce à son en-tête. En réalité l’extension peut être n’importe quelle extension de type image.

Il se compose de trois parties : un début constitué par une séquence d’octets "poubelle" (junk), assez longue pour tromper certains systèmes de filtrage ; une charge nocive ; une "queue" formée d’une séquence d’octets aléatoires. La charge nocive est capable de télécharger sur l’ordinateur divers types de malwares, comme cela a déjà été expliqué dans une précédente actualité.

En quoi cette information est-elle inquiétante ?

À la date du 1er janvier 06 aucun antivirus ne détecte ce nouvel exploit. En outre la structure du fichier rend très difficile l’établissement d’une signature facilement utilisable par les antivirus. Le fichier n’a pas besoin d’être ouvert pour exploiter la faille : si le fichier est sauvegardé dans un répertoire la charge nocive s’exécutera dès qu’un outil d’indexation le prendra en compte, ou simplement si vous ouvrez le répertoire avec l’affichage en mode vignette (car Windows est bien obligé de lire le fichier pour créer la vignette). Enfin ces fichiers WMF peuvent arriver par des voies très diverses : sites Web piégés, pièce attachée à un mail, messagerie instantanée, groupe de news consacrés aux images, P2P, documents Word…

Pourquoi cette faille pose-t-elle un problème particulier ?

Les images de type BMP, GIF ou JPEG sont des suites d’octets, éventuellement compressés, qui représentent des pixels. Autrement dit ce sont des données passives (images bitmap). Au contraire dans une image WMF (image de type vectoriel) les divers objets (lignes droites ou courbes, polygones, cercles, surfaces…) sont représentés par des formules mathématiques qui doivent être calculées pour reconstruire l’image. Les fichiers WMF peuvent donc appeler des procédures externes (contenues dans des dll du système) et si cet appel est spécialement conformé, la procédure appelée pourra être utilisée pour exécuter le code nocif.

On peut imaginer que la correction de la faille puisse être délicate car elle oblige à repenser le mécanisme de la fonction exploitée, sans compter que d’autres fonctions peuvent peut-être être utilisées à l’avenir. Il n’existe pour le moment aucun correctif de Microsoft. Bien que cela ne semble pas avoir été encore testé, Windows 98 et Millenium sont supposés vulnérables et le SANS (organisme de sécurité informatique bien connu) avance qu’il n’y aura pas de correctif pour ces anciennes versions.

Il existe un patch non officiel distribué par le SANS. Il a été initialement conçu pour Windows XP SP2, mais il a été modifié pour fonctionner aussi avec le SP1 et Windows 2000. Si vous utilisez ce patch, ce sera à vos risques et périls, bien qu’il ait été soigneusement vérifié. Le SANS suggère d’utiliser ce patch et, par sécurité, d’inactiver la dll leurrée en exécutant la ligne de commande suivante qui supprimera son enregistrement dans la base de registre :

regsvr32 -u %windir%\system32\shimgvw.dll

Quand le patch officiel sera sorti, désinstaller le patch non officiel (par Ajout et suppression de programmes) et réenregistrer la dll par :

regsvr32 shimgvw.dll

Vous êtes toutefois informés que l’inactivation de cette dll supprime l’affichage des vignettes et le fonctionnement de l’aperçu des images et des télécopies de Windows. En outre cette dll peut être réenregistrée à votre insu, par exemple par un cheval de Troie. Enfin le patch non officiel ne supprime pas l’infection, si par malheur vous en avez été victime.

Votre décision quant à l’utilisation de ces solutions provisoires dépend donc du niveau de risque que vous prenez dans votre utilisation d’Internet. Notez toutefois que des sites de confiance peuvent être compromis par des pirates qui peuvent rajouter des images WMF piégées (cela s’est produit pour knoppix-std.org).


Voir en ligne : Article de Futura-sciences.com - 02/01/2006

Messages

  • Inédit. Un expert indépendant propose un correctif contre la faille WMF. F-Secure approuve, Sophos est moins enclin.

    Christophe Lagane, VNUnet.fr 05.01.2006

    Comment prévenir les attaques potentielles dues à la faille WMF de Windows ? Cette vulnérabilité touche plus précisément le moteur de rendu de l’application de lecture Aperçu des images et des télécopies Windows (voir édition du 2 janvier 2006). Elle peut affecter des millions d’ordinateurs dans le monde. Du moins en attendant le correctif que Microsoft prévoit, au mieux, de livrer le 10 janvier prochain (voir édition du 4 janvier 2006).

    Outre la désactivation (temporaire) de l’application de lecture des fichiers WMF (Shimgvw.dll) préconisée par Microsoft lui-même dans son alerte, certains spécialistes de la sécurité préconisent d’autres solutions, complémentaires ou de remplacement. Et pour cause : la désactivation n’est pas toujours possible et peut être réactivée par le biais de scripts malveillants.

    Quant à l’idée de ne chercher à filtrer les fichiers WMF afin de ne pas être tenté de les afficher, elle se heurte au fait que les WMF sont reconnus à l’aide d’un entête spécial et peuvent être accompagné d’une extension quelconque. On croit charger une image JPEG, par exemple, et c’est un WMF en train d’infecter la machine qui s’active.

    Pour XP et Server 2003 uniquement

    Du coup, certains expert préconisent l’application d’un correctif alternatif à l’éditeur de Windows. C’est notamment ce que recommande l’Internet Storm Center (ISC). Une première en la matière. Le centre d’analyse antivirale du Sans Institute invite donc à appliquer un correctif développé par Ilfak Guilfanov, après avoir désactivé la DLL. "Tom Liston, membre de notre équipe, l’a examiné et nous l’avons testé", lit-on dans les FAQ du site. Quant à l’auteur du correctif, il est qualifié "d’un des meilleurs experts au monde de la couche bas niveau de Windows" par l’éditeur F-Secure.

    Le correctif ne fonctionne cependant que pour les versions XP et Server 2003 de Windows. "Nous l’avons testé et vérifié et pouvons le recommander", écrit Mikko Hypponen, directeur de la recherche sur les antivirus chez F-Secure, "nous l’exploitons sur toutes nos machines Windows."

    Si, de son côté, l’éditeur Sophos approuve l’efficacité du correctif, il n’en recommande pas forcément l’installation. "Nos tests n’ont révélé aucun problème avec le correctif de Guilfanov [...] et il permet de bloquer les tentatives d’exploitation de la faille WMF", explique Graham Cluley, expert en technologie et consultant pour Sophos, "cependant, les entreprises devront décider elles-mêmes si elle se sentent assez à l’aise avec cette solution alternative plutôt que d’attendre celui de Microsoft." Sous-entendu, les administrateurs ne devront compter que sur eux-même en cas de problème avec le correctif d’Ilfak Guilfanov.

    Voir en ligne : http://www.vnunet.fr/actualite/securite/protections/20060105003

  • Microsoft aura mis pas moins de 10 jours pour développer un correctif à la faille WMF découverte fin décembre. Le patch tombe à pic car la vulnérabilité est largement exploitée sur la toile, notamment pour installer à l’insu des internautes des spywares et autres backdoors

    C’est la star incontestée de ce début d’année 2006, la dernière vulnérabilité affectant l’OS de Redmond a su gagner l’attention des médias grands publics et spécialisés. Sa gravité n’y est pas pour rien. La faille est localisée dans la gestion des fichiers Windows Metafile (WMF) et affecte la quasi-totalité des versions de Microsoft Windows, y compris Windows XP SP2.

    L’exploitation de la faille est redoutable. En poussant un internaute à visualiser un fichier WMF piégé (hébergé sur un site internet ou envoyé par email) via le composant Windows Picture and Fax Viewer ou Internet Explorer, il est possible d’exécuter à distance du code arbitraire avec les privilèges de l’utilisateur courant.

    Face à la criticité de la faille, Ilfak Guilfanov, un développeur indépendant spécialisé dans le reverse engineering, avait offert à la communauté un correctif de son cru en attendant la réaction de Microsoft.

    Cette réaction est finalement arrivée 10 jours après la découverte de la vulnérabilité. Microsoft vient de publier en urgence sur son site Internet un correctif officiel. L’éditeur n’a pas attendu, comme il l’avait affirmé dans un premier temps, le 10 janvier date de publication du bulletin mensuel. La pression médiatique a payé.

    La mise à jour est de rigueur ... bon patch !

    Aurélien Cabezon pour Vulnerabilite.com

    Voir en ligne : Le Patch à télécharger

Un message, un commentaire ?

modération a priori

Ce forum est modéré a priori : votre contribution n’apparaîtra qu’après avoir été validée par un administrateur du site.

Qui êtes-vous ?
Votre message

Pour créer des paragraphes, laissez simplement des lignes vides.