Chip
02/2006: antivirový koutek
Tak takový konec roku bude firmě Microsoft závidět opravdu málokdo! Dne 28.
prosince 2005 se objevil závažný bezpečnostní problém, který se týkal souborů
typu WMF (Windows Metafile). Tento typ souborů vznikl již začátkem devadesátých
let, jeho obsahem jsou grafická data, a to jak vektorová, tak rastrová. Soubor
vlastně obsahuje seznam funkcí, které jsou volány a využívány pro vykreslení
obrázku. V posledních deseti letech nebyly soubory WMF příliš využívány,
daleko častěji se objevují soubory typu GIF nebo JPG.
Výše uvedený bezpečnostní problém není programátorskou chybou, jedná se
spíše o špatný návrh struktury a funkčnosti WMF souborů. Soubor totiž může
obsahovat i binární kód, který je možno velmi jednoduše spustit. To se provádí
pomocí takzvané funkce Escape. Tato vlastnost se kdysi zřídka používala pro
přístup ke speciálním funkcím tiskáren při tisku uložených dat. Je ale velmi
jednoduše zneužitelná pro šíření škodlivých programů – systémový program "Windows
Picture and Fax Viewer" při zobrazování takového souboru totiž vložený kód
bez problémů spustí. Touto chybou jsou bohužel postiženy všechny verze Windows
(včetně historických 3.x), i když ve svém implicitním nastavení se to týká
zejména Windows XP (včetně SP2) a Windows Server 2003. Nepříjemné bylo to, že
v době zveřejnění tohoto problému neexistovala žádná ochrana, která by
spouštění vloženého kódu zabránila. Distribuce speciálně upravených WMF souborů
přitom byla velmi jednoduchá a během několika hodin se takové soubory objevily
na mnoha webových stránkách s pochybnou pověstí. Většinou byly tímto
způsobem distribuovány trojské koně, zejména downloadery dalších škodlivých
programů, takže po prohlédnutí takové stránky došlo velmi rychle ke
zkompromitování daného počítače. O několik dní později se objevily WMF soubory
v elektronické poště jako součást spamu, 3. ledna byl k dispozici
speciální nástroj pro vytváření takových souborů (WMF Kit), v polovině
ledna byla například distribuována zpráva typu Phishing, která se tváří jako oznámení
banky HSBC a vyzývá k návštěvě stránky (nemající samozřejmě s bankou
nic společného), jež se snaží poslat na daný počítač speciální WMF soubor. Je
vidět, že problémy s těmito soubory jen tak neskončí... Závažnost této
bezpečnostní díry umocňovaly dvě věci: jednak se jedná o takzvaný 0-day
exploit, což znamená, že byla zveřejněna v době, kdy proti ní neexistovala
žádná obrana, a jednak se jednalo o dosud největší počet počítačů, které byly bezpečnostním
problémem postiženy – odhaduje se, že se jedná o asi miliardu počítačů (!).
A jak se k celé věci postavila firma Microsoft? Po počátečním
několikahodinovém kličkování vyhlásila, že oprava bude k dispozici až ve
standardním balíku, který bude uvolněn druhé úterý v lednu (tj. 10.
ledna). Do té doby prý musí uživatelé vydržet. Zmanipulované WMF soubory byly
poměrně rychle detekovány aktualizovanými antivirovými programy, dočasným
řešením bylo i odregistrování programu "Windows Picture and Fax
Viewer" tak, aby se pro prohlížení WMF souborů nespouštel, pomohlo i
odfiltrování WMF souborů na firewallu.
Po několika dnech se objevila neoficiální záplata, vytvořená ruským
programátorem Ilfakem Guilfanovem, která znemožňovala spouštění vloženého
programu. Lační uživatelé ji stahovali tak intenzivně, že jeho webové stránky zcela zablokovali. Ve
středu 4. ledna se na Internetu objevila beta verze záplaty od Microsoftu,
která pravděpodobně unikla z jeho laboratoří. Microsoft všechny vyzval,
aby ji ignorovali, nicméně i to přispělo k tomu, že nakonec výslednou
záplatu uvolnil dříve, než původně sliboval, a to 5. ledna. Chápu, že každý
takový zásah do systému je potřeba velmi důkladně otestovat, nicméně
v případě tak kritického problému měla být záplata uvolněna ještě dříve.
Nyní už zbývá jen jediné – všichni uživatelé by si ji měli nainstalovat co
nejdřív, pokud tak už dávno neučinili. Z předchozích zkušeností totiž
vyplývá, že obrovské množství počítačů zůstává nezáplatováno, a tak ještě
dlouhou dobu budou tvořit vhodné „podhoubí“ pro šíření škodlivých programů.
Zajímavé je i to, že řada lidí začala ihned zkoumat, zda se WMF soubory nedají
zneužít i dalším způsobem. Jsem zvědav, k jakým výsledkům tento proces povede
a zda se i v dalším období máme v souvislosti s WMF soubory na
co těšit!