Microsoft Windows WMF işleme güvenlik açığı

Önem: Kritik
Etkisi: Sistem Erişimi
Etkilenen Sistemler: Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1
Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003
Microsoft Windows Server 2003 for Itanium-based Systems
Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
Microsoft Windows Server 2003 x64 Edition
Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), ve Microsoft Windows Millennium Edition (ME)

Microsoft Windows'da kötü amaçlı kişilerin sistemlerin kontrolünü ellerine geçirebilmelerine izin veren bir açık olduğu tespit edildi.

Güvenlik açığı bozuk Windows Metafile dosyalarının (.wmf) işlenmesindeki bir hatadan kaynaklanıyor. Açık kullanıcıların özel olarak hazırlanmış wmf dosyalarını (Windows Picture and Fax Viewer'da) açmaları veya explorer'da önizleme (ör. dosyayı seçtiklerinde) yapmaları ile tetiklenebiliyor. Ayrıca kullanıcıların kötü amaçla hazırlanmış bir web sitesini Internet Explorer ile ziyaret etmeleri ile otomatik olarak da tetiklenebiliyor.

Not: Exploit kodu yayınlandı. Geniş çapta kullanılmaya başladı.

Açığın bütün yamaları geçişmiş olan Microsoft Windows XP SP2'yi de etkilediği de onaylanmış. XP SP1 ve Windows 2003 SP0/SP1'inde etkilendiği rapor edildi. Diğer platformlarda etkileniyor olabilir.

Söz konusu açık ile ilgili kötü amaçlı wmf dosyaları içerdiği tespit edilen siteler:
Crackz [dot] ws
unionseek [dot] com
www.tfcco [dot] com
Iframeurl [dot] biz
beehappyy [dot] biz

Not: Yukarıda listelenen sistemleri Windows altında analiz etmek isterken sisteminize bulaştırmanız çok kolay. F-Secure'daki araştırmacılar wget ile söz konusu açık için hazırlanmış wmf dosyalarından birini çektiklerinde sisteme bulaştığını görmüşler. Dosyayı indirdikleri sistemde Google Desktop kurulu ve Google Desktop bu tip dosyaları da indekslediği için (etkilenen windows bileşeni SHIMGVW.DLL'e bir API çağrısı yaptığından) sistem etkilenmiş. Bu sebeple dikkatli olmanız öneriliyor.

Şu an kullanılan exploit aşağıdaki tehditleri yaymaya çalışıyor:
Trojan-Downloader.Win32.Agent.abs
Trojan-Dropper.Win32.Small.zp
Trojan.Win32.Small.ga
Trojan.Win32.Small.ev

Çözüm:
5 Ocak 2006> Microsoft güvenlik bülteni MS06-001'de açığı gideren yamaları yayınladı. Yamalar aşağıdaki adresten temin edilebilir:
http://www.microsoft.com/technet/security/Bulletin/ms06-001.mspx

Microsoft 10 Ocak'ta yama çıkaracağını duyurdu.
Güvenilmeyen .wmf dosyalarını açmayın veya önizleme yapmayın. Microsoft Internet Explorer'ın güvenlik seviyesini "Yüksek"e ayarlayın.
Antivirüs sistemlerinizi güncelleyin. Yama çıkana kadar Ilfak Guilfanov'un hazırlamış olduğu fix'i kullanarak açığı kapatabilirsiniz:
http://www.hexblog.com

Kaynak: http://secunia.com/advisories/18255/
http://www.f-secure.com/weblog/archives/archive-122005.html
http://www.microsoft.com/technet/security/advisory/912840.mspx
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-4560
http://www.kb.cert.org/vuls/id/181038

Etkilenen Sistemler

Etkilenenler:

Etkilenmeyenler: