Eset NOD32 защищает от WMF-уязвимости
Компания Eset сообщает о том, что антивирусное программное обеспечение Eset NOD32 надежно защищает пользователей от уязвимости графической подсистемы Windows при обработке файлов типа Windows Metafile (файлов WMF).
Данная уязвимость имеет статус критической и в первую очередь касается систем Microsoft Windows XP (Service Pack 1 и XP Service Pack 2), Microsoft Windows XP Professional x64 Edition, Microsoft Windows Server 2003 (включая Service Pack 1 и x64 Edition), Microsoft Windows 2000, а также систем Microsoft Windows 98, Microsoft Windows 98 SE, и Windows Millennium. Однако, обнаруженная проблема является очень старой и может присутствовать в том или ином виде во всех версиях системы Windows, выпущенных начиная с Windows 3.0, то есть с 1990 года.
Опубликованный в конце 2005 года пример использования уязвимости графической подсистемы Windows при обработке файлов типа Windows Metafile, позволявший потенциальному злоумышленнику захватить контроль над удаленной системой, немедленно привел к появлению многочисленных троянских программ, развивавших эту возможность.
Разработанные Майкрософт форматы Windows Metafile (WMF), а также Enchanced Metafile (EMF), позволяющие хранить изображение в виде последовательности команд, приводящих к воспроизведению изображения на экране, привлекали внимание хакеров довольно давно. Еще в ноябре 2005 г. ими была найдена серьезная уязвимость этого формата, принадлежавшая к классическому типу "атак на переполнение буфера". Данная уязвимость, приводившая к возможности исполнения нежелательного кода, также имела статус критической, однако, по утверждению Майкрософт, относилась только к системам класса NT (Microsoft Windows 2000, Microsoft Windows XP, Microsoft Windows Server 2003), исключая Microsoft Windows 98 и Microsoft Windows Millennium Edition.
Вскоре появились и автономные версии вирусов, распространявшихся в виде почтовых червей, пересылавшихся в прикрепленных к письму файлах изображений. Просмотр изображения, содержавшегося в письме, приводил к активации червя; при этом многие программы просмотра (в первую очередь – стандартные средства просмотра Windows) корректно распознавали формат wmf по бинарному содержимому изображения, что позволяло разработчикам вредоносного программного обеспечения использовать и другие расширения помимо wmf (например, более привычные gif или jpeg).
При этом стоит отметить, что специфические особенности открывшейся уязвимости значительно облегчали задачу маскировки кода – и даже среди тех программ-антивирусов, которые учитывали возможность наличия небезопасного содержимого в прикрепленных изображениях, далеко не все удачно справлялись с определением сигнатур некоторых вирусов этой категории.
Важная особенность данной уязвимости в том, что угроза заражения системы существует не только при открытии файла, содержащего вредоносный код, но также и при исполнении следующих действий:
- простой просмотр содержимого папки Windows XP, в которой находится данное изображение (при этом режим предварительного просмотра (preview) может даже быть отключен);
- использование диалога открытия файла приложения Microsoft Office, например, при вставке файла в документ Microsoft Word;
- просмотр свойств данного изображения.