Perguntas e respostas sobre a falha do WMF

O Internet Storm Center (ISC) do SANS divulgou um FAQ (documento com as perguntas mais comuns) sobre a falha no formato WMF do Microsoft Windows. Confira a tradução da Linha Defensiva do FAQ do ISC, que possui muitas informações úteis e claras que você precisa para se proteger dessa falha.

Importante: A Linha Defensiva recomenda que você faça uma pesquisa na web se tiver qualquer dúvida após ler esse documento ou, se preferir, coloque suas dúvidas no fórum.

Última Atualização: 7 de Janeiro de 2006 — 13:34

Por que esse problema é tão grave?

A vulnerabilidade no WMF usa imagens WMF para executar código malicioso. O código será executado se o arquivo for visualizado. Na maioria dos casos, você não precisa clicar em nada. Até mesmo as imagens armazenadas no seu sistema podem fazer com que o código malicioso seja ativado se ela for indexada por algum software de indexação. Listar o conteúdo de uma pasta no modo miniaturas também ativará o código malicioso. A Microsoft anunciou inicialmente que o patch só seria lançado no dia 10 de janeiro, mas ele foi lançado antes do esperado.

É melhor usar o Firefox ou o Internet Explorer?

O Internet Explorer exibirá as figuras e ativará o exploit sem qualquer aviso. As versões mais novas do Firefox vão exibir um alerta antes de abrir a imagem. Entretanto, na maioria dos casos, isso não oferece muita proteção já que os arquivos maliciosos são imagens e portanto são considerados “seguros”.

Quais versões do Windows são afetadas?

Windows XP (SP1/SP2) e Windows 2003 são afetados pelos exploits disponíveis atuais, mas todas são afetadas de alguma forma. Mac OS X, Unix e BSD não são afetados.

Nota: Se você ainda está usando Win98/ME, essa é a hora de atualizar: é quase certo (porém ainda não foi testado) que esses sistemas são vulneráveis e não haverá nenhuma correção disponibilizada pela Microsoft. Suas opções para contornar a falha são limitadas. Você realmente precisa atualizar.

O que eu posso fazer para me proteger?

Temporariamente nós recomendávamos a instalação de um patch não-oficial. Mas com o lançamento do patch da Microsoft, recomendamos que você o instale imediatamente.

Uma correção não-oficial foi disponibilizada por Ilfak Guilfanov. Tom Liston, do Internet Storm Center, revisou o patch e ele foi testado. A versão revisada e testada do patch está disponível aqui [V1.4 — MD5: 15f0a36ea33f39c1bcf5a98e51d4f4f6]. Assinatura do PGP (assinado pelo Internet Storm Center) aqui (nota: essa assinatura não é necessária se você não usa PGP). O ISC agradece Ilfak Guilfanov por disponibilizar essa correção!

Nós também havíamos recomendado a desativação de uma das DLLs vulneráveis (recomendado pela Microsoft), mas isso também não é mais necessário agora que o patch foi lançado.

Como eu reativo a DLL e desinstalo o patch?

Importante: Você deve reiniciar o sistema antes de reativar a DLL. As imagens WMF maliciosas podem ainda estar na memória esperando processamento. Nossos testes mostraram que essas imagens serão processadas assim que a DLL for reativada.

Para reativar a DLL, clique em Iniciar -> Executar e coloque o comando:

regsvr32 shimgvw.dll

Esse é o mesmo comando usado para desativá-la, porém sem a opção -u.

Para remover o patch não-oficial, abra o Painel de Controle, e abra a opção “Adicionar/Remover Programas”. Procure o patch na lista e desinstale-o.

Para desinstalar o patch a partir da linha de comando (sem usar o Painel de Controle), coloque esse comando no “Executar”:

msiexec.exe /X{E1CDC5B0-7AFB-11DA-8CD6-0800200C9A66} /qn

Como funciona o patch não-oficial?

O wmfhotfix.dll é injetado em qualquer programa que carrega o user32.dll. O DLL então modifica na memória a função Escape() do gdi32.dll para que ela ignore qualquer chamada que utiliza o parâmetro SETABORTPROC (0x09). Isso deve permitir a exibição de arquivos WMF normalmente e bloquear o código malicioso ao mesmo tempo. A versão do patch divulgada nesse FAQ foi testada contra todas as versões conhecidas do exploit e deve funcionar em Windows XP (SP1/SP2) e Windows 2000.

Existem outros patches?

A ESET, que desenvolve o antivírus NOD32, publicou outro patch. Nós não conseguimos testá-lo porque já que nós já tínhamos o patch do Ilfak e o patch oficial foi lançado logo depois do patch da ESET. O patch promete funcionar em versões mais antigas do Windows (como o ME) e não necessita que o site seja reiniciado. Se quiser mais informações, visite o site da ESET.

Uma versão inicial do patch da Microsoft também vazou na web e foi disponibilizada por alguns sites. A Microsoft não recomenda a instalação desse patch.

Existe algum teste para ver se estou vulnerável?

Nós criamos uma imagem que vai iniciar a calculadora do Windows. Veja http:// sipr.net / test.wmf. Essa imagem devem ser detectada por quase todos os antivírus, pois utiliza uma versão do exploit que pode ser facilmente reconhecida. O seu antivírus também deve detectar essa imagem, porém detectar essa imagem não é o suficiente para saber se ele detectará outras versões do exploit.

Desativar a DLL (sem usar a correção não-oficial) vai me proteger?

Ajuda, mas não é infalível. Nós estamos tentando ser bem claros: temos indicações de que simplesmente desativar a DLL não funciona sempre. A DLL pode ser reativada por programas maliciosos ou a instalação de outros programas. Podem haver casos onde a reativação da DLL em um sistema onde o exploit já executou faça com que o exploit funcione. Também é possível que existam outras formas de atacar além da função Escape() no gdi32.dll. Enquanto não houver uma correção da Microsoft, nós recomendamos a utilização do patch não-oficial em conjunto com a desativação da DLL.

Devo apagar a DLL?

Pode não ser uma má idéia, mas o Windows File Protection vai criá-la novamente. Você deverá desativar o Windows File Protection antes. Quando uma correção oficial for lançada você terá que colocar a DLL novamente, então renomear (ao invés de apagar) provavelmente é uma idéia melhor.

Devo bloquear todas as imagens WMF?

Isso pode ajudar, mas não é suficiente. Os arquivos WMF são reconhecidos por um cabeçalho especial e a extensão não é necessária. Os arquivos podem ter qualquer extensão ou serem incluídos em arquivos do Word, por exemplo, entre outros.

O que é DEP (Data Execution Protection) e como ele pode me proteger?

A Microsoft introduziu o DEP no Windows XP SP2. Ele protege o sistema contra diversos tipos de exploits proibindo a execução de segmentos marcados para dados. Para funcionar corretamente, entretanto, ele precisa de um hardware compatível. Alguns processadores, como os processadores 64 bit da AMD, possuem suporte completo ao DEP e vão prevenir o exploit quando o DEP está ativado. Você pode saber mais sobre o DEP, como ativá-la e saber se ele está rodando aqui.

Os antivírus são bons para me proteger dessa falha?

Nós estamos sabendo de versões do exploit que não são detectadas por scanners antivírus. Nós esperamos que eles adicionem a detecção logo. Mas será uma dura batalha até que eles consigam adicionar todas as versões do exploit. Um antivírus atualizado é necessário, mas não é suficiente.

Como um WMF malicioso pode entrar no meu sistema?

Existem métodos demais para mencionar todos eles. Anexos em e-mails, websites e mensageiros instantâneos serão provavelmente os mais comuns, mas não esqueça outras fontes, como programas P2P.

É suficiente recomendar que não sejam visitados sites pouco confiáveis?

Não. Ajuda, mas não é suficiente. Nós sabemos que pelo menos site confiável (knoppix-std.org) foi comprometido e um frame foi adicionado ao site para redirecionar os usuários para um WMF malicioso. Sites “confiáveis” já foram usados assim antes.

Qual é o problema verdadeiro com as imagens WMF?

Imagens WMF são diferentes das outras imagens. Ao invés de apenas possuírem informações simples como “esse pixel tem essa cor”, as imagens WMF podem chamar processos externos. Um desses processos pode ser usado para a execução de código.

Devo usar algo como o “Drop My Rights” para diminuir o impacto do exploit?

Sem dúvida. Não se esqueça de nunca usar o computador com uma conta administrativa para o trabalho do dia-a-dia. É claro que isso apenas limita o impacto da falha e não a previne. A navegação na web é apenas uma das maneiras para ativar o exploit. Se a imagem for parar no seu sistema e depois for visualizada por um administrador, você será infectado.

Meus servidores estão vulneráveis?

Talvez… você permite o upload de imagens? E-mail? As imagens são indexadas? Você utiliza um navegador web no servidor algumas vezes? Resumindo: se alguém consegue colocar uma imagem no seu servidor e fazer a DLL maliciosa processá-la, ele pode estar vulnerável.

O que eu posso fazer no meu perímetro/firewall para proteger minha rede?

Não muito. Um servidor proxy que retira todas as imagens pode ajudar, mas não será bom para os seus usuários. Pelo menos bloqueie a extensão .wmf (mas veja acima que o exploit não precisa desse formato). Se o seu proxy possui algum tipo de scanner antivírus, ele poderá pegar o exploit — o mesmo pode ser dito sobre servidores de e-mail. Quanto menos conexões outbound (de dentro para fora) você permite que os seus usuários façam, melhor. Um monitoramento detalhado das estações de trabalho pode lhe ajudar a saber quando uma delas for infectada.

Posso usar IDS para detectar esse exploit?

A maioria dos distribuidores de IDS estão trabalhando em assinaturas. Entre em contato com o desenvolvedor do seu IDS para detalhes. O site Bleedingsnort.org está divulgando assinaturas constantemente atualizadas para usuários de Snort.

Se eu for infectado, o que eu posso fazer?

Não muito, infelizmente. Pode ser bem complicado remover todos os componentes. Você pode entrar em contato com o suporte da Microsoft para pedir ajuda [ou pedir ajuda em nosso fórum, onde temos um serviço para a remoção de malware.]

A Microsoft divulgou alguma informação?

Antes do patch, a Microsoft disponibilizou informações sobre a falha aqui:
http://www.microsoft.com/technet/security/advisory/912840.mspx

Mas agora o patch está disponível no boletim MS06-001:
http://www.microsoft.com/technet/security/bulletin/ms06-001.mspx

O que o CERT tem para nos dizer?

• http://www.kb.cert.org/vuls/id/181038
• http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-4560