細說WMF漏洞

申請免費試用、咨詢電話：400-8352-114

WMF漏洞的性質是什么？哪些系統(tǒng)會受到感染？

最近一個多星期來，IT人員一直在竭力阻擋與最近披露的Windows元文件（WMF）漏洞有關的攻擊。為此，《Computerworld》的安全欄目編輯Angela Gunn整理出了一份全面的常見問題（FAQ），介紹該漏洞的工作原理、哪些系統(tǒng)會受到感染以及可以采取的對策。

問題所在

這是什么樣的漏洞？這是涉及WMF文件的重大安全漏洞。針對該漏洞的不法分子可以利用WMF文件在目標機器上運行惡意代碼——利用間諜軟件進行感染、竊取數據，或者把該機器加入到僵尸網絡當中。這個問題存在已有多年，但直到2005年12月底才公布被人發(fā)現。

哪些版本的Windows易受攻擊？微軟聲明，該漏洞存在于Windows 98以后的所有版本的Windows，不過實際上，只有安裝的XP和Server 2003可能會有問題。安全公司Secunia證實，下列系統(tǒng)面臨危險: Microsoft XP Pro、Microsoft XP Home、Microsoft Windows Server 2003數據中心版本、Microsoft Windows Server 2003企業(yè)版本和Microsoft Windows Server 2003標準版本。

Mac、Linux或者Unix系統(tǒng)易受攻擊嗎？這還用問？它們當然安全多了。

實際情況

是不是任何實際的惡意軟件都針對這個漏洞？漏洞編寫者從來就不會休息，也不會放慢腳步。截至1月4日，CastleCops.com的討論版上列出的已知漏洞已有73個; 而迄今為止，防病毒公司Sophos報告的攻擊方法已超過200種。

漏洞是如何傳播的？凡是關注惡意軟件領域的人對感染途徑都不會陌生: 從電子郵件或者即時消息里面打開的圖形或者可執(zhí)行文件、惡意或者受危及的網站、虛假的電子賀卡、虛假的系統(tǒng)信息等等。防病毒公司已發(fā)現了一種名為WMFMaker的獨立實用程序會迅速構建惡意的WMF。據了解，該程序被用于漏洞的第一輪行動當中。

漏洞的攻擊順序如何？用戶點擊WMF文件后，該文件就會調用shimgvw.dll庫; 該庫進而調用gdi32.dll庫里面的Escape()函數。Escape()有一個名為SETABORTPROC的子函數，它讓用戶可以在假脫機操作期間取消來自不同應用里面的打印任務。該漏洞針對的目標就是SETABORTPROC。它會導致緩沖器溢出，從而讓目標計算機運行文件WMF里面的惡意代碼。

DLL和函數會進行什么操作？

● Shimgvw由Windows圖片和傳真查看器（Picture and Fax Viewer）使用，Windows的這個默認程序可以查看眾多文件格式。包括Mozilla在內的其他應用程序也依靠這個DLL。

● 如微軟介紹的那樣，Windows圖形顯示界面（GDI）“使應用程序能夠使用視頻顯示和打印機上的圖形和格式化文本?；谖④沇indows的應用程序不會直接訪問圖形硬件; 相反，GID代表應用程序與設備驅動程序進行聯系。GDI可以用于基于Windows的所有應用程序?！?

● Escape()函數把來自GDI庫的某些調用轉換至訪問某個設備（如掃描儀或者打印機）的驅動程序。

● SETABORTPROC提供了較新版本的Windows和較舊的16位版本之間的兼容性，從而使之成為所謂的向后兼容或者“回歸”錯誤。

漏洞的有效載荷是什么？可以是各種類型的可執(zhí)行文件，但迄今為止，有效載荷似乎主要是廣告軟件和間諜軟件這兩類。有些版本試圖把受感染機器加入僵尸網絡，大概是為了以后用來實現陰謀。賽門鐵克聲稱，名為PWSteal.Bankash.G的一種漏洞攜帶能竊取口令的特洛伊木馬，它還會企圖通過隨機性的TCP端口打開代理服務器。

這跟早在去年11月的漏洞是不是同一回事？不是，那是另一個問題，會影響WMF和EMF（擴展元文件）兩種格式。對時時關注安全的人來說，早些時候的那個漏洞在微軟的安全公告MS05-053里面有所描述。微軟的安全公告912840介紹了這個新問題。針對早些時候的漏洞發(fā)布的補丁解決不了這個新問題。

現有解決方案

補丁會采取什么操作？據補丁編寫者Ilfak Guilfanov聲稱，非官方的Hexblog補丁可以阻止調用gdi32.dll里面的Escape()函數，這樣就無法使用易受攻擊的SETABORTPROC子函數了。運行補丁后，用戶還應該清除shimgvw.dll庫的注冊信息。Hexblog的補丁可以打在Win2000、XP、XP64和Win2003等系統(tǒng)上。

當然，微軟正在開發(fā)補丁。發(fā)布前版本曾在開發(fā)人員的討論版上短暫露過面，后來可能因為是存在錯誤又被撤下了。微軟稱，發(fā)布版本要到1月10日才提供。該公司建議用戶在安裝官方補丁之前，先清除shimgvw.dll庫的注冊信息。

不是微軟開發(fā)的補丁安全嗎？微軟及Gartner公司等一些研究機構建議系統(tǒng)管理員最好不要安裝Hexblog補丁，并強調大多數主要的防病毒軟件包已經發(fā)布了最新的特征碼，能夠解決這問題。但其他信譽卓著的機構如SANS Institute下設的因特網風暴中心建議安裝Hexblog補丁。美國計算機緊急響應小組（US-CERT）并沒有表態(tài)，但確實提供了指向Hexblog補丁的鏈接。

如果我單單阻擋WMF擴展名可以嗎？不行。帶.bmp、.gif和.jpg等擴展名的其他圖形文件可能也會成問題，因為渲染引擎在確定文件類型時檢查的是文件頭（不是擴展名）。

單單清除shimgvw.dll庫的注冊信息可以嗎？微軟聲稱，這辦法目前可行，但外部的安全專家強調， 清除shimgvw.dll的注冊信息只是權宜之計，這只是調用gdi32.dll里面的函數。編寫的漏洞有可能直接調用gdi32.dll，從而感染機器。此外，使用shimgvw.dll庫的Windows圖片和傳真查看器只是查看XP和Server 2004里面的WMF和圖形文件的默認程序。如果Google Search等桌面搜索軟件碰巧搜索到受感染的文件，這類軟件可能也會觸發(fā)漏洞，F-Secure公司的測試博客對此有詳細介紹。另外，IBM向Lotus Notes用戶發(fā)布公告: 該公司正在調查Notes的文件查看器是否會執(zhí)行有問題的代碼; 賽門鐵克公司似乎肯定: Notes無疑面臨風險。

如果我安裝了非官方補丁，如何處理官方補丁呢？Guilfanov聲稱，兩者之間不會有沖突，不過他還是建議用戶安裝微軟的補丁后把他開發(fā)的補丁卸載掉。該補丁會顯示在“添加/刪除程序”窗口里面。用戶還要記得到時清除shimgvw.dll的注冊信息。

人為因素

這個Guilfanov是何許人也？Ilfak Guilfanov編寫了IDA Pro，這個流行的反匯編程序用來在二進制代碼層面調查這種惡意軟件。目前，他受雇于比利時的Datarescue公司，該公司在去年12月28日即WMF問題披露后一天發(fā)布了IDA Pro下一個版本的預覽版。

我該如何向不懂技術的上司或者用戶解釋這個問題？即便你已經設法教會用戶良好的上網習慣（注意在電子郵件里面點擊的內容、遠離有問題的網站等等），但他們仍容易受到攻擊，至少從理論上來說是這樣——由于惡意軟件編寫者競相在1月10日微軟發(fā)布補丁之前行動，你要勸用戶在接下來一周應特別小心。所有用戶在點擊附件（哪怕來自已知的電子郵件地址或者IM好友）時，都要小心行事。由HTML電子郵件改用純文本電子郵件也是個好辦法。使用IE瀏覽器的那些人應當暫時禁用下載功能，即把瀏覽器Internet區(qū)域的安全級別設為“高”。WMF文件打開之前，Firefox和Opera用戶會得到提示。應當鼓勵這些用戶不要打開文件。而對選擇使用非官方補丁但仍需要向本組織其他人解釋這一選擇的人來說，SANS提供了采用PDF和PowerPoint格式的簡短說明。 (CCW)