Tietoturva

WMF-viruksia liikkeellä, asiantuntijat suosittelevat epävirallista korjausta

Julkaistu:

Metasploit-projekti on julkaissut entistä ehomman ja pahemman hyökkäyskoodin Windowsien WMF-haavaan, ja ensimmäiset viruksetkin ovat jo ilmestyneet sähköposteihin. Tietoturva-asiantuntijat suosittelevat epävirallisen korjaustiedoston asentamista.
Windows-käyttäjien uusi vuosi alkaa uhkaavissa merkeissä. Tietoturvayhtiöt varoittavat ensimmäisestä wmf-pikaviestimadosta ja haavoittuvuutta hyödyntävästä takaoviohjelmasta, jota levitetään roskapostiviesteissä.

Windows Metafile (wmf)-grafiikkatiedostojen käsittelyn haavoittuvuus tuli julki viime viikolla, kun sitä hyödynnettiin mainosohjelmien levittämisessä www-sivuilla.

Haavoittuvuuden avulla hyökkääjä voi suorittaa omaa ohjelmakoodiaan Windows-koneessa, jos käyttäjä esimerkiksi vierailee hyökkääjän www-sivulla. Aukkoa voi käyttää myös sähköpostimatojen levityksessä.

- Siihen asti kun Microsoft saa julkaistua päivityksen tälle [...] haavoittuvuudelle, surffaaminen, sähköpostin lukeminen ja pikaviesteillä chättäily on kuin venäläläisen ruletin pelaamista tietokoneella, tietoturvayhtiö Sunbeltin tutkimus- ja kehitysjohtaja Eric Sites kirjoittaa yhtiön blogissa.
Mainos (Teksti jatkuu alla)
Mainos päättyy

Sites kertoo, että muun muassa McAfeen asiakkaista kuusi prosenttia on jo saanut tartunnan "ensimmäisen sukupolven" hyödyntämismenetelmää käyttävistä ohjelmista.

- Kuusi prosenttia asiakkaista on valtava määrä.

Uusi hyökkäyskoodi

Tilannetta pahentaa entisestään uusi hyökkäyskoodi, joka Internet Storm Centerin mukaan ainakin vielä sunnuntaina livahti lähes kaikkien virustorjuntaohjelmien läpi.

- Lähdekoodista päätellen toimivien tunnisteiden kehittäminen on erittäin vaikeaa wmf-tiedostojen rakenteen vuoksi, ISC varoittelee sivuillaan.

Hyökkäyskoodin julkaisi Metasploit-projektin puuhamies HD Moore lauantaina aamulla Suomen aikaa Full-Disclosure-postilistalla. Koodi päätyi nopeasti myös ranskalaisen tietoturvayhtiön FrSirtin sivuille ja varoitukseen.

Hyppönen: vastuutonta

Koodin julkaisijat saavat poikkeuksellisen suurta kritiikkiä monelta. F-Securen tutkimusjohtaja Mikko Hyppönen kommentoi hyökkäyskoodin julkaisua viikonloppuna yhtiön blogissa.

- Hyökkäyskoodin avulla mitäänosaamattomat tulokkaatkin pystyvät laatimaan muuntuvia ja erittäin vaikeasti havaittavia variaatioita kuvatiedostoista.

- Tällaisten työkalujen julkaiseminen samaan aikaan, kun valmistajalla ei ole päivitystä saatavilla, on vastuutonta - yksinkertaisesti ja selvästi vastuutonta, Hyppönen kritisoi.

F-Securen kanssa julkista paheksuntaa ovat harjoittaneet myös muun muassa Internet Storm Center sekä Sunbelt.

Viruksia roskapostiviesteillä

Tietoturvayhtiöt McAfee ja F-Secure varoittivat viikonloppuna wmf-haavoittuvuutta hyödyntävästä takaoviohjelmasta, jota levitetään roskapostiviesteissä. Viestien otsikkona on yhtiön mukaan "Happy New Year" ja liitetiedostona "HappyNewYear.jpg".

Kaspersky Labs puolestaan kertoi lauantaina havainneensa ensimmäisen wmf-haittaohjelman, joka leviää pikaviesteinä.

Molemmissa tapauksissa virusta levitetään jpg-päätteisenä tiedostona. Windows tunnistaa wmf-tiedostot otsikkotiedoista ja käsittelee ne haavoittuvalla komponentilla, joten tiedoston vaarallisuutta ei voi tässä tapauksessa päätellä päätteestä.


Epävirallinen päivitys

Internet Storm Center kehottaa ylläpitäjiä poikkeuksellisesti asentamaan epävirallisen päivityksen, jonka on laatinut Ilfak Guilfanov. ISC:n testien mukaan päivitys tekee sen, minkä lupaakin eli tukkii aukon. Se toimii Windows 2000- ja Windows XP-järjestelmissä.

ISC myös varoittaa, ettei Microsoftin viime viikon varoituksessa mainittu kiertokonsti tarjoa sataprosenttista suojaa. Microsoftin ohje on poistaa käyttöjärjestelmän rekisteristä shimgvw.dll-komponentti.

Tietoa päivityksestä jakoivat viikonloppuna muun muassa Viestintäviraston Cert-fi-ryhmä, Sunbelt ja F-Secure.

Epävirallinen päivitys on ladattavissa ISC:n palvelimilta.

Korjaus: Sunbeltin blogin mukaan tartuntojen määrästä asiakkaiden keskuudessa kertoi McAfee ei Trend Micro.

Kommentit

    Näytä lisää