Vulnerabilità WMF: rischi sempre maggiori. Le possibili soluzioni.

Trascorrono i giorni ed il problema diventa sempre più critico. La vulnerabilità di sicurezza, inizialmente confermata solo su sistemi Windows XP e Windows Server 2003, interessa però – a livelli diversi – tutte le versioni di Windows e riguarda la gestione dei file in formato WMF (Windows Metafile), sempre più bersaglio di pericolosi exploit.
Il codice di molti exploit è stato reso pubblico sul web facilitando così enormemente lo sviluppo di innumerevoli malware. L’ultima novità, ad esempio, è la diffusione di un worm che sfrutta proprio la vulnerabilità WMF di Windows: si diffonde attraverso la posta elettronica utilizzando l’oggetto “Happy New Year” (nel corpo del messaggio si legge il testo “Picture of 2006”). In allegato è posta una “falsa” immagine JPG (in realtà si tratta di un file WMF).
Non appena il file HappyNewYear.jpg allegato all’e-mail virale viene aperto oppure, in qualche modo, gestito dalla shell di Windows (od indicizzato, ad esempio, da Google Desktop), viene sfruttata la falla WMF per scaricare una backdoor da Internet (Bifrose) che espone il sistema a razzie dall’esterno da parte di aggressori remoti.
La notizia è stata pubblicata sul blog di F-Secure che ha immediatamente battezzato la nuova minaccia come PFV-Exploit.D. Trend Micro, ad esempio, ha optato invece per il nome TROJ_NASCENE.H.
Frattanto, nell’attesa che venga rilasciata una patch ufficiale da parte di Microsoft, vengono proposte alcune possibili soluzioni temporanee per il problema. L’Internet Storm Center (isc.sans.org) consiglia l’utilizzo della patch (scaricabile da qui) realizzata da Ilfak Guilfanov (programmatore celebre per aver sviluppato software per decompilare applicazioni, effettuare analisi sul codice binario, hex editing,…). Una volta installata, la patch di Guilfanov fa leva sulla funzione SetAbort(), considerata come causa principale del problema. Successivamente, ISC suggerisce di annullare la registrazione della libreria SHIMGVW.DLL utilizzando il comando regsvr32 /u %windir%system32shimgvw.dll
Non appena Microsoft rilascerà una patch correttiva, prima di applicarla è caldamente consigliato provvedere alla disinstallazione dell'”hot fix” di Guilfanov ed alla registrazione della libreria SHIMGVW.DLL (comando regsvr32 %windir%system32shimgvw.dll).
Va ricordato che i file WMF dannosi non debbono avere necessariamente estensione .WMF ma possono presentarsi, ad esempio, come nel caso del worm citato in precedenza, come JPG. Il file viene infatti interpretato come WMF da parte di Windows grazie all’intestazione (“header”) posta al suo interno.
La vulnerabilità relativa ai file WMF ha le sue radici nel passato. Quando venne concepito il formato Windows Metafile, nel corso degli anni ’80, venne inserita una funzionalità che permetteva di inserire del codice all’interno dei file d’immagine. Questo codice veniva eseguito attraverso l’uso di una funzionalità “callback” in certe situazioni. Non un bug quindi ma qualcosa che, a quei tempi, risultava necessario. La funzione ora incriminata si chiama Escape() ed, in particolar modo, la sottofunzione SetAbortProc. La documentazione Microsoft riporta come questa sia stata sviluppata per annullare un processo di stampa durante l’operazione di “spooling” (ved. questa pagina). Ciò implica essenzialmente due aspetti: potrebbero esserci altre funzioni vulnerabili oltre a SetAbortProc e la vulnerabilità dovrebbe affliggere tutte le versioni di Windows (dalla 3.0 commercializzata a partire dal 1990).