FAQ sur l'EXPLOIT relatif aux images WMF

Publié le par KARELDJAG


FAQ pour l'exploit WMF (récent)

Cette page est une simple traduction de la faq originale (ISC.SANS.org).

D'autres traductions de cette faq sont disponibles dans d'autres langues.

 

 

*Pourquoi cette faille est si importante?

 

La vulnérabilité WMF utilise les images (images WMF ou numériques) afin d'exécuter un code arbitraire. Ce code s'exécute par simple aperçu de l'image en question; et dans la plupart des cas, il n'est pas nécessaire de cliquer sur quoi que ce soit pour en être victime.

Même les images stockées sur votre système peuvent provoquer l'exploit si elles sont au préalable indexées par des programmes spécialisés.

Un simple aperçu avec Internet Explorer via l'option "taille de l'image" peut également permettre à l'exploit de s'exécuter.

Microsoft a annoncé que cette faille ne sera pas comblée avant le mardi 10 janvier 2005, jour et période habituelle des mises à jour.

 

*Est-il mieux d'utiliser Firefox ou Internet Explorer?

 

Internet Explorer va visualiser l'image sans avertir l'utilisateur, alors que Firefox emmétra une fenêtre d'avertissement avant d'ouvrir l'image.

De toute façon, cela n'a qu'une protection somme toute restreinte et limitée, eu égards au fait que ces images sont généralement considérées comme sans danger.

 

*Quelles versions de Windows sont affectées?

 

Windows XP (SP1 et SP2), Windows 2003 sont affectés par ces exploits circulant actuellement.D'autres versions de Windows peuvent également êtres affectés.

MAC OS-X, UNIX ou BSD ne sont pas affectés.

 

NB. Si vous utilisez encore Windows 98 ou Millenium, il se peut (non vérifié) que votre système puisse être vulnérable, et il n'y aura pas de correctif disponible de Microsoft. Votre champ de possibilité pour réduire les risques inhérent à cette exploit sont limités, et il se peut que vous soyez contraint d'opter pour une version supérieure.

 

*Que puis-je faire pour m'en prémunir?

 

1. Microsoft n'a pas encore sorti de correctif. Mais un correctif non-officiel a été rendu disponible par Ilfak Guilfanov.
Notre membre Tom Liston a passé en revue ce correctif et nous l'avons nous-mêmes testé. L'ensemble est disponible içi (maintenant à la version1.4, MD5: 15f0a36ea33f39c1bcf5a98e51d4f4f6), signature PGP (avec la clef ISC) içi.

MERCI à Ilfak Guilfanov pour la réalisation de ce correctif!

2. Vous pouvez désactiver la dll inhérente à cette exploit.

3. Un bon antivirus à jour peut également reconnaître cet exploit.

 

Pour désactiver la dll:

 

-cliquer sur "démarrer", puis sur "Exécuter". Et ensuite tapez (sans les guillemets": "regsvr32 -u %windir%system32shimgvw.dll" et validez en cliquant sur le bouton OK.

NB. Notez que l'editeur de texte ne prend pas en compte les slash, et il faut donc se reporter à cette image.

Un fenêtre ou pop up d'avertissement comme celle-çi devrait apparaître pour confirmer la désactivation de cette dll.

Confirmer par OK afin de fermer cette fenêtre.

 

Nos recommandations actuelles suggèrent de désactiver la dll et d'utiliser le patch ou correctif non officiel de Ilfak Guilfanov.

 

*Comment réactiver la dll et supprimer le correctif ?

 

 

Important : Il est  nécessaire de redémarrer l’ordinateur afin que la procédure puisse être prise en compte et que la réactivation de la DLL soit effective.

Des images .WMF infectées peuvent encore résider en mémoire attendant d’etres  visualisées. Et nos tests ont montré que le code malicieux est exécuté aussitôt la dll réactivée.

 

Pour réactiver la dll :

 

-cliquer sur « démarrer » puis sur « exécuter », puis taper « regsvr32 %windir%system32shimgvw.dll »

NB. Comme ci-dessus, se reporter à cette image.

De nouveau une fenêtre Windows apparaît pour confirmer que l’opération s’est bien déroulé. Alors cliquer sur OK pour fermer cette fenêtre.

En fait il s’agit a peu de chose prés de la même formule que pour la désactivation, mise a part le « -u »

 

Pour désinstaller le patch, il suffit d’aller dans le Panneau de configuration, de cliquer sur « Ajout/ suppression de Programmes » et de chercher le nom du patch ou correctif dans la liste.

Pour une désinstallation en ligne de commande, il suffit d’utiliser la commande suivante :

 

msiexec.exe /X{E1CDC5B0-7AFB-11DA-8CD6-0800200C9A66} /qn

 

 

*Comment opère le correctif non officiel?

 

La dll wmfhotfix.dll procède par injection de dll dans n'importe quelle processus requérant le module user32.dll.

Cette DLL patch (en mémoire) la fonction Escape ou Echappe du module gdi32.dll si bien qu'il ignore tout appel système utilisant le paramètre SETABORTPROC (ie. 0x09).
Cela devrait permettre aux programmes Windows de montrer les fichiers WMF tout en bloquant l'exploit.

La version du code source de ce correctif disponible ici a été scrupuleusement vérifié et validé contre toutes les variantes connues de cet exploit.

Il devrait fonctionner sur Windows XP SP1 et SP2 ainsi que sur Windows 2000.

 

*Y’a t-il d’autres correctif disponible ?

 

ESET, l’éditeur de l’antivirus NOD32 a mis au point un correctif. Pour plus d’info, il convient de se référer à cette page. Contrairement à celui de Ilfak, nous n’avons pas vérifié la viabilité de ce patch. Nous le feront si nous en trouvons le temps.

Ce correctif d’ESET est valable pour les anciennes versions de Windows (comme ME) et ne nécessite pas de redémarrage de l’ordinateur. Pour plus d’information, il est utile de se référer au site officiel d’ESET.

Des fuites ont permis la diffusion de la première mouture du correctif  de Microsoft sur certains sites et forums.

Microsoft recommande de ne pas l’utiliser.

 

*Y’a t-il un test pour vérifier si je suis vulnérable ou non ?

 

Nous avons créé une image qui lance l’exécution de la calculatrice Windows. Aller sur: http//sipr.net/test.wmf

La plupart des antivirus à jour devraient êtres en mesure de détecter l’image malicieuse, et ce d’autant plus que nous avons utilisé un exploit basique et relativement facile à détecter pour les moteurs d’analyse des antivirus.

 

*La désactivation de la DLL sans utilisation du correctif peut-elle tout autant me protéger?

 

Cela peut aider, mais sans garantie aucune. Nous voulons être très clair sur un point: nous avons de fortes présomptions et indications qui nous font penser que la simple désactivation du module shimgvw.dll n'est pas toujours un gage de réussite.

En effet, cette .dll peut être réactivée par des processus malicieux ou tout simplement via l'installations de programmes. Et il y a donc des possibilités pour que sa réactivation sur un système ayant déjà subi l'exploit puisse cette fois-çi lui permettre de s’exécuter.

De surcroît, des attaques peuvent êtres possibles sur la fonction Escape/Echappe dans gdi32.dll.

Par conséquent, tant que le correctif de Microsoft n'est pas disponible, nous recommandons d'utiliser le patch non-officiel d'ILFAK en plus de la désactivation de la dll vulnérable.

 

*Devrais-je supprimer la DLL?

 

Ce ne serait pas une mauvaise idée mais la fonction de protection de fichier de Windows (WMP) risque de la remplacer.

Pour ce faire, il convient de désactiver WFP (utiliser à cet effet WFP Switcher, note de l'auteur), puis de le réactiver avec le réintroduction de la .dll dés que le correctif officiel sera disponible (renommer la .dll plutôt que la supprimer serait peut être mieux en attendant).

 

*Devrais-je bloquer toutes les images .WMF?

 

Cela peut aider mais n'est guère suffisant. Les fichiers .WMF sont reconnus par une fonction spécifique et l'extension n'est pas forcément indispensable.

Les fichiers peuvent en fait utiliser n'importe quelle extension, et être camouflés dans Word ou tout autres documents.

 

*Qu'est-ce le DEP (Protection de l'Exécution de Données) et comment cela peut-il m'aider?

 

Avec le SP2 de Windows XP, Microsoft a introduit le DEP. Cela prémuni contre bon nombre d'exploits, en prévenant l'exécution de certains segments de données (type Buffer Overflow, note de l'auteur).

Mais pour que son fonctionnement puisse être efficace, il requière un support hardware comme le processeur AMD Athlon 64 bit. Plus d’informations à ce sujet chez Microsoft.

 

*Les antivirus sont-ils en mesure de prévenir cet exploit?

 

Dans l'état actuelle de nos informations, nous sommes en mesure de dire que certaines variantes de cet exploit ne peuvent êtres détectés par les moteurs d'analyse antivirus. Mais nous espérons qu'ils pourrons le faire sous peu.

Mais ce sera une difficile course-poursuite que d'en recenser toutes les variantes. Mettre à jour les antivirus est nécessaire mais non suffisant.

 

*Comment un fichier .WMF malicieux peut-il entrer dans mon système?

 

Il ya trop de voies d'accès et de manières pour les citer toutes. Fichiers joints des mails, sites web, messageries instantanées sont les vecteurs les plus probables. Et il convient de ne pas oublier les réseaux P2P et autres vecteurs (chats, liens, cartes de vœux etc., note de l'auteur).

 

*Est-il suffisant de prévenir mes utilisateurs d'éviter les sites non reconnus comme sûrs?

 

Non, cela peut aider, mais n'est guère suffisant. Nous avions au moins un site auquel nous croyions (knoppix-std.org) et qui a été compromis.

L'utilisation de frames ou cadres a permis la redirection vers de images .WMF malicieuses. Cette utilisation du contenu de sites dits "sûrs" a déjà été utilisé dans le passé.

 

*Quel est donc le problème avec les image .WMF?

 

Les images .WMF sont un peu différentes des autres images. Au lieu de contenir des codes et des iformations comme "ce pixel est de cette couleur", les images .WMF font appels à l'exécution de codes vers l'extérieur; appels qui peuvent êtres intercéptés pour executer du code malicieux.

 

*Puis-je utiliser des outils comme "DropMyRigts pour limiter l'impact de cet exploit?

 

De toutes les maniéres: oui. Se connecter avec un compte et des droits d'utilisateurs (et non administrateurs) peut ainsi en limiter l'impact, mais ne peut prévenir l'exploit lui même (celà signifie que l'exploit aura moins de répercussions sur le système car le champ des droits permis à l'utilsateur est restreint, note de l'auteur).

Ce n'est là qu'une maniére de se protéger de l'exploit. Si l'image reste présente et que vous la visualiser ultérieurement en tant qu'administrateur, alors vous pouvez être victime de l'exploit.

 

*Mes serveurs sont-ils vulnérables?

 

Peut-être...Permettez-vous le chargement d'images? d'emails? ces images sont-elles indexées? Utilisez-vous un navigateurs web sur votre serveur? En bref: si quelqu'un peut obtenir (et charger, note de l'auteur) des images, et si la .dll responsable de l'exploit est utilisée, alors il se peut que votre serveur soit vulnérable.

 

*Que puis-je faire sur mon réseau privé, en amont du firewall, afin d’en protéger l’accès ?

 

En fait, peu de solutions s’offrent à vous. Un serveur proxy qui filtre et dépouille les sites web de toutes leurs images ? Difficilement compatible avec l’ensemble de vos utilisateurs. En dernier ressort, bloquer les images. WMF (voir ci-dessus pour les extensions). Si votre serveur intègre un moteur d’analyse type antivirus, il peut détecter l’exploit. De même pour les serveurs de mails. Moins vous permettrez à vos utilisateurs d’engendrer des connections sortantes, et mieux ce sera.

Stopper la surveillance des stations de travail peut être suggéré si un poste de travail est infecté.

 

*Puis-je utiliser un IDS (Système de Détection d’ Intrusions) pour détecter l’exploit ?

 

Bien des fournisseurs de solutions IDS travaillent à la mise en place de signatures relatives à ce présent exploit. Contactez votre fournisseur habituel pour de plus amples informations.

Blledingsnort.org par exemple améliore régulièrement sa base de signatures pour les utilisateurs de SNORT.

Des variantes récentes de cet exploit tirent parti  entre autres de la compression du mode http pour contourner la détection par signatures des IDS.

 

*Si j’ai été victime de l’exploit, que puis-je alors faire ?

 

Pas grand chose en fait. Cela dépend de quel exploit exactement vous avez été victime. La plupart d’entre eux téléchargent d’autres éléments, et il peut donc s’avérer très difficile –voire impossible-de tous les recenser.

Toutefois, Microsoft offre un support gratuit pour ce genre de faille au 866-727-2389 (je n’ai pas vérifié si le numéro est accessible depuis la France, note de l’auteur).

 

*Est-ce que Microsoft dispose d’informations relatives à cet exploit ?

 

http://www.microsoft.com/technet/security/advisory/912840.mspx

 

MICROSOFT A ANNONCE QU’UN CORRECTIF SERA DISPONIBLE LE 10 JANVIER, soit le prochain et habituel « MARDI NOIR »

 

*Qu’est ce que le CERT en dit ?

 

www.certa.ssi.gouv.fr/site/CERTA-2005-ALE-019/


 



INFORMATION IMPORTANTE: MICROSOFT a décidé d'avancer la mise à disposition de son patch qui devrait être disponible ce jour.
Plus d'infos (en anglais) sur leur site ici.

Quelques éléments d’information sur les mesures de prévention contre ce genre d’exploits :

 

En dehors du firewall et de l’antivirus, il convient d’ajouter à sa ligne de défense un système de prévention d’intrusions à usage personnel : certains d’entre eux sont orientés vers la détection de comportements inhabituels et suspect et peuvent donc alerter l’utilisateur, d’autres offrent une protection dite par liste blanche : une base de donnée réputée saine est crée lors de l’installation, et son integrité est alors protégée de toute corruption et modification.

Pour de plus amples informations sur ce type de produit, il convient de se reporter à la section HIPS de ce blog.

 

Bien sûr (comme énoncé dans la FAQ), il est vivement recommandé de surfer avec un compte utilisateur (limité) et non administrateur.

 

De plus, il existe des outils gratuits de filtrage web qui permettent de se prémunir contre certains code mobiles malicieux et contre tout téléchargement non autorisé.

SANDBOXIE est un must car il est efficace et gratuit (ici un test contre l’exploit wmf que Sandboxie bloque sans problème).

On peut coupler Sandboxie avec un filtreur Web type Proxomitron (pour les utilisateurs avancés), ou alors Privoxy ou Webwasher.

 

Pour les initiés, une protection contre les Buffer Overflows ou débordements de tampons est aussi un plus ; que ce soit via le hardware (certains processeurs comme l’AMD Athlon 64 ) ou alors Software (ici un exemple qui bloque les appels des dll vulnérables).

Publié dans NEWS and RESOURCES

Pour être informé des derniers articles, inscrivez vous :
Vous aimerez aussi :
HIPS tests news
HIPS tests news
Volunteers for HIPS tests
Volunteers for HIPS tests
ARTICLES COMING SOON
ARTICLES COMING SOON
News and Tools
News and Tools
WINDOWS ROOTKITS COUNTERMEASURES Part 4 and End: Windows Rootkits Prevention
ABUSE SHIELD
Commenter cet article