WMF-trojan (säkerhetstest)

[Thomas Tydal]

Jag har gjort ett litet enkelt test där man kan se om ens webbläsare använder Windows bildhantering och därmed är sårbar för WMF-exploiten.

 

Med andra ord, klarar inte din webbläsare det här testet så innebär det att om din windowsburk inte är patchad (Microsoft har ingen patch än) kan du drabbas bara genom att råka gå in på "fel" sida. Att veta i förväg vilken sida som är fel är svårt eftersom det inte behöver röra sig om skumma sidor.

 

Säkerhetshålstest:

http://www.tydal.nu/article/122

 

 

[Hakinger]

Tackar för förklaringen.

 

[Stefan Eklinder]

 

Bra artikel! :-)

Använder FF och såg inte någon av bilderna du lagt på sidan.

 

---

C:\Eforum\Stefan Eklinder>|

 

"Vad händer om du blir halvt ihjälskrämd, två gånger?"

 

- Steven Wright

 

 

 

[Keffo]

Använder Firefox!!!!

 

Ända raka numera!!

 

[Monshi]

Men - nu har jag avregistrerat den berörde DLL-filen och kört den inofficiella patchen. Dvs den komponent som strular ska inte startas.

 

I FF ser jag mycket riktigt inga bilder i ditt test men i IE ser jag dem. Men om IE anropar systemdelen, dvs den dll-fil som dels är avregisterard och även bortplockad mha av inofficiella patchen (den ställer in något i Winows inställningar rörande denna funktion), så borde väl inte bilderna visas där heller?

 

Eller?

 

 

/T

 

Even when we know we´ll never find the answers, we have to keep on asking questions.

 

[Thomas Tydal]

Att du fortfarande kan se bilderna innebär att Microsofts råd om att avregistrera dll-filen inte hjälper. Däremot hjälper patchen. Patchen gör inte så att bilderna inte kan visas, utan patchen gör så att eventuell kod i bilderna inte körs.

 

 

[Monshi]

Ahh, OK.

 

Men - var är det patchen är inne och ändrar egentligen? Går den i dll-filen i fråga coh ändrar något där eller vad? Ja, om du vet så får du gärna svara på den undran....

fast, äsch, det står ju här:

The installer injects this DLL to processes in the system using the following registry key:

 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs

 

All processes using to user32.dll will be affected by this fix.

 

The DLL patches the Escape() function in gdi32.dll and makes

SETABORT escape sequence invalid. I do not know if there are any

bad consequences of this (anything printer related?)

vad den gör...

 

Inte för att jag på det hela blir 100% klok av det ovan så förstår jag grovt vad den gör.

 

 

 

/T

 

Even when we know we´ll never find the answers, we have to keep on asking questions.

 

[Thomas Tydal]

> Går den i dll-filen i fråga coh ändrar något där eller vad?

 

WMF är egentligen ett ganska speciellt filformat. Det funkar som ett makro ungefär. Det "spelar in" funktionsanropen till Windows grafikfunktioner som används för att rita bilden och sparar dessa. När man tittar på bilden så spelas makrot upp och funktionsanropen körs.

 

Säkerheten i detta är att det är begränsat till Windows grafikfunktioner (GDI) som finns i GDI32.DLL. Dock är det så att en av dessa funktioner är SetAbortProc. Den funktionen är till för om man vill att en utskriftsavbrytning ska leda till att något särskilt görs. Med SetAbortProc så talar man om för Windows vilken funktion man vill ska användas när utskriften avbryts.

 

Så de smittade bilderna har med sig en egen funktion som gör det de känner för, en SetAbortProc som pekar på den egna funktionen och så gör den en utskrift som den avbryter och vips kan man alltså stoppa in vilken körbar kod som helst i en bild och få den utförd när man tittar på bilden.

 

Så det här säkerhetshålet är egentligen (i vanlig ordning) ingen bugg utan en feature...

 

 

[0x2A]

Jag har kört den senaste updaten 912919, men kan se bilderna på testsidan iaf med IE.

 

 

-

 

[inlägget ändrat 2006-01-06 14:23:58 av 0x2A]

[Thomas Tydal]

> Jag har kört den senaste updaten 912919, men kan se bilderna på testsidan

> iaf med IE.

 

Jo, grundproblemet är kvar, att IE automatiskt anropar OS-komponenter för filtyper som egentligen inte ska förekomma på webben. Patchen ska göra så att just WMF-filerna inte ska kunna köra kod (mina bilder innehåller ingen kod) men det är ju fortfarande öppet för alla andra obskyra filtyper.

 

Jag menar, före det här, hur många visste att WMF-filer enligt dokumentationen ska kunna innehålla egen kod och köra den? Hur många visste att man kunde ha WMF-filer i IMG-taggen?

 

Hur många fler filtyper/filformat finns det som kan göra liknande saker och som IE helt automatiskt öppnar?