Vulnerabilità WMF: ESET rilascia una patch non ufficiale

Dopo Guilfanov, è ESET la prima azienda a rilasciare una patch temporeanea per la vulnerabilità WMF. Il prodotto più famoso commercializzato da ESET è l’antivirus NOD32, resosi famoso – tra le altre qualità – per le ottime performace garantite durante la scansione virus e per l’abilità dell’euristica integrata.
La patch di ESET che mette una pezza al problema relativo ai file WMF “maligni” è stata realizzata dall’italiano Paolo Monti, esperto di sicurezza ed è scaricabile, direttamente dal sito ufficiale, cliccando qui.
Abbiamo chiesto a Monti quali differenze ci siano rispetto alla patch resa disponibile da Guilfanov nei giorni scorsi:
“Ci sono differenze sostanziali nel funzionamento della patch ma non nel suo scopo finale: filtrare la funzione SetAbortProc (funzione numero 9) dell’API Escape esportata dalla GDI32.DLL, cioé la funzione che viene sfruttata dal malware presente in file WMF creati ad hoc. La patch di Ilfak Guilfanov è “statica” e funziona soltanto a partire da Windows 2000 e superiori, ovvero per venire caricata in automatico nello spazio di indrizzamento dei processi che usano la USER32.DLL, sfrutta una particolare chiave di Registro (i.e. HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs). La sua patch modifica direttamente il codice della GDI32.DLL, per cui è strettamente dipendente dall’implementazione della GDI32.DLL.”
Aggiunge Monti: “La mia patch, invece, usa API hook dinamici e viene iniettata in tutti i processi (anche quelli di sistema, cioé i servizi). Per questo motivo funziona anche sotto Windows 9X/ME, ma non è compatibile con le versioni a 64-bit di Windows, dove è invece opportuno installare la patch di Guilfanov. Inoltre, l’iniezione della DLL in un processo richiede diritti da amministratore. Il programma di installazione della patch è anche in grado di usare la AppInit_DLLs, nel caso in cui si tenti di installare la patch da un account privo di diritti da amministratore.”
Paolo Monti conclude che l’applicazione della patch non dovrebbe presentare alcun problema. Suggerisce comunque di porre attenzione ai sistemi utilizzati in ambienti lavorativi (server): è sempre opportuno, dopo l’installazione della patch, provvedere ad un continuo monitoraggio della macchina. In ogni caso, “scaricare” la patch dalla memoria è semplice: basta utilizzare il comando inject.exe con il parametro /u (i.e. inject.exe /u).
Il sito web italiano di ESET è www.nod32.it