WMF: баг года

крис касперски ака мыщъх

Хакер, номер #086, стр. 086-066-1

Все о WMF и самом обширном баге в истории Windows

Возможно, в новогоднем переполохе ты и не заметил, но недавно была обнаружена самая крупная дыра за всю историю существования Windows. Баг поражает все системы от Windows 3.x до Longho и даже, кто бы мог подумать, UNIX! По данным McAfee, на 6 января 2006 года было заражено 6% машин по всему миру. И это только начало, приятель! Время разобраться с тем, как черви используют новый баг для распространения, как они внедряются в систему и как от них защищаться.

Внимательное чтение SDK (да только кто ж его читает!) показывает, что некоторые GDI-команды поддерживают функции обратного вызова (они же call-back'и), принимающие в качестве одного из аргументов указатель на пользовательскую процедуру, делающую что-то полезное (например, обрабатывающую ошибки или другие внештатные ситуации). В том же самом SDK говорится, что последовательность GDI-команд может быть сохранена в метафайле (Windows Meta-File или, сокращенно, wmf), а затем «воспроизведена» на любом устройстве, например, мониторе или принтере. По отдельности оба этих факта хорошо известны, но долгое время никому не удавалась объединить их в одну картину. Все привыкли считать wmf графическим форматом, содержащим набор данных, возможность внедрения машинного кода как-то упускалось из виду и никакие защитные меры не предпринимались. Между тем, если записать в метафайл GDI-команду, ожидающую указателя на callback-функцию, размещенную там же, то при «проигрывании» метафайла она получит управление и выполнит все, что задумано!

как все начиналось

Метафайлы появились еще в начале 80-х и неизвестно, кому первому пришла в голову мысль использовать их для распространения зловредного кода. Я обосновал теоретическую возможность такой атаки еще лет пять назад, а через два года после этого даже привел фрагмент работоспособного эксплойта в «Системном администраторе» (или это был «Программист»? - сейчас и не вспомню). Однако мой сплоит остался незамеченным, и тревогу забили лишь 27 декабря 2005 года, когда на рабочих столах разных пользователей стала появляться всякая непотребность (см. рис 1), а сторожевые программы начали ловить непонятно откуда взявшихся червей и ругаться матом (см. рис 2). Поимка осуществлялась по классическому принципу: отслеживание создаваемых файлов, мониторинг реестра и так далее, то есть ловилась не сама wmf-начинка, а последствия ее непродуманной «жизнедеятельности». Грамотно спроектированный shell-код оставался незамеченным.

история массовой истерии

27.12.2005

По данным F-Secure, первый эксплойт появился 27.12.2005 на www.unionseek.com, где его тут же прибили вместе с сайтом. Но джин был выпущен из бутылки, и копии эксплойта просочились в Интернет, прочно обосновавшись на www.metasploit.com и milw0rm.com под именем «ie_xp_pfv_metafile».

28.12.2005

Спустя 24 часа (то есть 28 декабря) парни из F-Secure уже насчитали три различных модификации эксплойта, условно обозначенных W32/PFV-Exploit A, B и C. Надвигающуюся угрозу заметили и другие фирмы. В частности, McAfee обнаружила два эксплойта, классифицировав их как Downloader-ASE и Generic Downloader.q.

Содержание  Вперед на стр. 086-066-2
ttfb: 3.3690929412842 ms