WinTricks Forum - Pensiero del momento

__[IxT] Falla WMF, il rischio aumenta: come rimediare__

Questo articolo vi arriva grazie alle gentili donazioni di
"webmaster", "zappa" e "krees".

La vulnerabilità che consente di attaccare un computer Windows
semplicemente mandandogli un'immagine appositamente confezionata nel
formato WMF oppure inducendo l'utente a visitare un sito contenente
una di queste immagini sta dilagando: sono sempre più numerosi i siti-
trappola che la sfruttano, c'è una versione che viaggia via e-mail,
una versione che si diffonde tramite MSN Messenger e c'è persino un
kit che consente a qualsiasi dilettante di confezionare attacchi
basati su questa falla di Windows. I link a informazioni su queste
versioni e sul kit sono nella versione Web di questo articolo:

http://attivissimo.blogspot.com/2006...schio-aumenta-
come.html
Link breve: http://tinyurl.com/9kq75

E' praticamente impossibile filtrare questo tipo di attacco bloccando
le immagini in formato WMF al firewall aziendale o con un antivirus,
perché il codice dell'attacco è dissimulabile in mille modi
differenti (rendendo impossibile il riconoscimento tradizionale degli
antivirus) e la trappola funziona anche se l'estensione data
all'immagine non è WMF: potreste ricevere un'immagine di nome "buon
anno.jpg" e pensare che sia sicura, mentre in realtà è in formato
WMF, e Windows la aprirebbe e la eseguirebbe. Quindi è inutile
pensare "non apro i file WMF": potreste aprirli senza saperlo.

In pratica, qualsiasi immagine è a rischio, e questo significa che
per un utente Windows, qualsiasi immagine allegata e qualsiasi sito
Web contenente immagini sono a rischio. Anche i siti "fidati" possono
infatti contenere immagini pubblicate da aggressori. Per esempio, una
pagina di un blog, di un forum o di Flickr, o un'inserzione su eBay ,
in pratica qualsiasi sito nel quale chiunque può pubblicare
un'immagine, potrebbe includere un'immagine WMF ostile: e in tal caso
basta visitarla con Windows per infettarsi.

Microsoft dice che non rilascerà una patch di correzione prima del 9
gennaio:

http://isc.sans.org/diary.php?rss&storyid=996

Chiunque abbia un computer Windows, in sostanza, per cinque giorni
non dovrebbe affacciarlo a Internet.

Anche la soluzione provvisoria, descritta in un articolo precedente,
è efficace soltanto in parte: alcuni programmi, come Lotus Notes,
restano vulnerabili anche dopo aver disattivato il componente di
Windows fallato che consente l'attacco con immagini WMF.

La situazione è ritenuta talmente grave che organizzazioni autorevoli
come il SANS Institute e F-Secure hanno preso la decisione senza
precedenti di consigliare agli utenti di installare una patch di
Windows non ufficiale oltre a disattivare il componente di Windows
fallato. La patch è stata preparata da Ilfak Guilfanov e altri, ed è
stata verificata dal SANS Institute, che la mette a disposizione qui:

http://isc.sans.org/diary.php?storyid=1010

La patch di Guilfanov è reversibile e potrà quindi essere
disinstallata quando Microsoft pubblicherà la correzione ufficiale.

Questa falla WMF è, secondo F-Secure, la vulnerabilità più estesa mai
verificatasi. Ne sono interessati tutti i computer Windows, sin dalla
versione 3.0, con o senza aggiornamenti di sicurezza: centinaia di
milioni di computer.

La cosa ironica è che la falla non è dovuta a un errore di
programmazione di Microsoft, ma a una scelta tecnica ben precisa e
intenzionale dell'azienda di zio Bill: quando introdusse il formato
WMF, negli anni Ottanta, Microsoft ritenne necessario consentire a
un'immagine di includere codice eseguibile, in modo da poterne
interrompere la stampa durante lo spooling (l'invio alla coda di
stampa). A nessuno, in casa Microsoft, venne in mente che un
aggressore avrebbe potuto sfruttare questa "funzione" per causare
danni.

Questo è quello che i critici di Windows intendono quando parlano di
un sistema operativo progettato male e senza considerare seriamente
la sicurezza. La falla è rimasta in Windows per una quindicina
d'anni, nonostante tutte le strombazzate iniziative di "Trustworthy
Computing" ("Informatica degna di fiducia"), e non è stata Microsoft
a scoprirla.

Riassumendo, ecco come contenere il rischio:

* Non usate Internet Explorer, ma sostituitelo con Firefox o Opera,
che vi avvisano se aprite un file WMF.
* Non usate programmi di posta che visualizzano automaticamente le
immagini.
* Disattivate il componente fallato (SHIMGVW.DLL): al prompt dei
comandi (Start > Esegui), digitate REGSVR32 /U SHIMGVW.DLL e
riavviate Windows.
* Disattivate Google Desktop, se lo usate.
* Usate la patch di sicurezza non ufficiale.
* Installate la patch Microsoft appena viene resa disponibile.

Vi prego, non sommergetemi di richieste di assistenza: voi siete
tanti, e io sono uno solo. Ho già scritto qui tutto quello che so.
Chiedete ad amici e colleghi, interpellate il responsabile aziendale
della sicurezza, rivolgetevi a un negozio d'informatica che offra
assistenza tecnica, e consultate Microsoft e la casa produttrice del
vostro computer, visto che l'assistenza tecnica è inclusa nel prezzo
di acquisto di Windows.

Se vi state chiedendo che cosa sto facendo io per evitare le
infezioni prodotte da questa falla, la risposta è semplice. Uso un
Mac e il mio sito gira su una macchina Linux.

Ciao da Paolo.