SANS Internet Storm Center WMF-haavoittuvuuden tiedotus



Samankaltaiset tiedostot
Tuplaturvan tilaus ja asennusohje

Microsoft Security Essentials (MSE) asennuspaketin lataaminen verkosta

Ohjeita tietokoneverkon käyttöön Latokartano-säätiön ja Metsäylioppilaiden asuntosäätiön asuntoloissa

Tikon Web-sovellukset

Tietoa ja ohjeita Hämäläisten ylioppilassäätiön asuntoloiden laajakaistaverkon käytöstä

Asetusten avulla voit säätää tietokoneen suojaustasoja. Suojaustila ilmoittaa tietokoneen senhetkisen tietoturvan ja suojauksen tason.

Järjestelmän asetukset. Asetustiedostojen muokkaaminen. Pääkäyttäjä eli root. Järjestelmänhallinnan työkalut

Internetin hyödyt ja vaarat. Miten nettiä käytetään tehokkaasti hyväksi?

Tietokoneiden ja mobiililaitteiden suojaus

Tikon Web-sovellukset

ESET CYBER SECURITY Mac Pikaopas. Lataa tämän asiakirjan uusin versio napsauttamalla tätä

Liittyminen Sovelton Online-tapahtumaan Microsoft Lync Web App -selainlaajennuksella (Windows, MAC ja ipad)

Selaimen asetukset. Toukokuu (7) Selaimen asetukset Tikon Oy. All rights reserved.

F-SECURE SAFE. Toukokuu 2017

F-Secure Mobile Security. Android

pikaohje selainten vianetsintään Sisällysluettelo 17. joulukuuta 2010 Sisällysluettelo Sisällys Internet Explorer 2 Asetukset Internet Explorer 8:ssa

56K ESP-2 Modem 56K ESP-2 MODEM. Pika-asennusohje. Versio 1.0

Tietokoneiden ja mobiililaitteiden tietoturva

Lync-järjestelmän käyttö etäpalvelussa Työasemavaatimukset ja selainohjelman asennus Valtiovarainministeriö

päiväys tekijä tarkastaja hyväksyjä Muutoshistoria Julkunen (Marja Julkunen)

Varmuuskopiointi ja palauttaminen Käyttöopas

TRUST SIGHT FIGHTER VIBRATION FEEDBACK & PREDATOR QZ 500

TIETOTURVALLISUUDESTA

10 parasta vinkkiä tietokoneongelmiin

Wordfast Classic 5.5 Asentaminen 1 (10)

Java Runtime -ohjelmiston asentaminen

TIETOTURVA. Miten suojaudun haittaohjelmilta

OHJE Jos Kelaimeen kirjautuminen ei onnistu Windows-koneilla

OHJE Jos Kelaimeen kirjautuminen ei onnistu Mac-koneella Sisällys

Tietokannan luominen:

Mitkä ovat suurimmat muutokset yritysverkkopankissa? / Mikä yritysverkkopankissa muuttuu?

ULLA SANNIKKA. SENIORIN TIETOKONEOPAS Windows 10

Varmuuskopiointi ja palauttaminen Käyttöopas

Ohjeet käyttäjätilin rekisteröintiin ja varmennekortin liittämiseen HUS:n ulkopuoliselle ammattilaiselle

Valtion yhteisen viestintäratkaisun (Vyvi) Työtila- ja Ryhmä-palvelun kirjautumisohje

Sonera Desktop Security Asennusohje 2005

Kiipulan ammattiopisto. Liiketalous ja tietojenkäsittely. Mervi Saarinen

Olet tehnyt hyvän valinnan hankkiessasi kotimaisen StorageIT varmuuskopiointipalvelun.

Palomuurit. Palomuuri. Teoriaa. Pakettitason palomuuri. Sovellustason palomuuri

KEMI-TORNIONLAAKSON KOULUTUSKUNTAYHTYMÄ LAPPIA LANGATON VIERAILIJAVERKKO 2(7) VERKKOYHTEYDEN MÄÄRITTELY WINDOWS XP:LLE (WINDOWS XP SP3)

PÄIVITÄ TIETOKONEESI

Mobiilimaailma ja tietoturva. Erkki Mustonen, tietoturva-asiantuntija F-Secure Oyj

Kieku-tietojärjestelmä Työasemavaatimukset

Ohje Hosted.fi SharePoint

Suvi Junes/Pauliina Munter Tietohallinto/Opetusteknologiapalvelut 2014

HARJOITUS 3: Asennetaan Windows Vista koneeseen Windows 7 Professional upgrade ohjelmisto (Windows 7 käyttöjärjestelmän asennus)

Ohjelmistopohjaisen lisenssin käyttö

Oma verkkokäyttäytyminen myös vaikuttaa olennaisesti tietoturvaan

Siemens Webserver OZW672

Tikon Web-sovellukset

Suojaa koneesi vartissa

F-Secure Anti-Virus for Mac 2015

TALLENNETAAN MUISTITIKULLE JA MUISTIKORTILLE

MALLIN RENDERÖINTI KUVAKSI TAI VIDEOKSI SOLIDWORKS 2010 VERSIOLLA

Kieku-tietojärjestelmä Työasemavaatimukset sla-

INTERBASE 5.0 PÄIVITYS VERSIOON 5.6

COMET-MAKSULAITTEEN LATAAMINEN MINIUSB-KAAPELIA KÄYTTÄMÄLLÄ

Tekniset vaatimukset Tikon 6.4.1

CUDA. Moniydinohjelmointi Mikko Honkonen

Käyttöoppaasi. F-SECURE MOBILE SECURITY 6 FOR ANDROID

Mitä Uutta - SURFCAM V5.1 Sisällysluettelo

C++ Ohjelmoijan käsikirja. Johdanto

Tik Tietojenkäsittelyopin ohjelmatyö Tietotekniikan osasto Teknillinen korkeakoulu. LiKe Liiketoiminnan kehityksen tukiprojekti

VISUAALINEN TIETOTURVASUUNNITELMA PENTTI LIIKANEN

1 KÄYNNISTÄ MD-3100 USB ADSL MODEM. Tuotetiedot

Mobiililaitteiden ja sovellusten tietoturvallisuus mihin tulee kiinnittää huomiota?

POP-UP -IKKUNOIDEN SALLIMINEN

Web Services tietokantaohjelmoinnin perusteet

Taloyhtiön laajakaistan käyttöohje, Tekniikka: HomePNA. Käyttöjärjestelmä: Windows XP

CCLEANER LATAAMINEN JA ASENTAMINEN

Virustorjuntaohjelman F-Secure 5.54 asennus kotikoneelle

LATAA JA ASENNA ILMAISOHJELMIA INTERNETISTÄ

Tietokoneen asetukset -ohjelma. Oppaan osanumero:

MALWAREBYTES ANTI-MALWARE

Kaakkois-Suomen Ammattikorkeakoulu Oy Mikkelin Ammattikorkeakoulu Oy Kymenlaakson Ammattikorkeakoulu Oy

Mikä on WordPress? itse ylläpidettävä (self-hosted) WordPress.com: ilmainen 3. osapuolen ylläpitämä pilvipalvelu (Cloud-hosted)

Tutkimus: Virustorjunta Virustorjunta vertailut löytyvät osoitteesta Virustorjunta.biz. Suosittelemme lukemaan kaikki arvostelut ja valitsemaan

1 YLEISKUVAUS Tietoturva Viruksen torjunta Palomuuri Roskapostin suodatus Selainsuojaus...

Kennelliiton Omakoira-jäsenpalvelu Ohje eläinlääkäriasemille, Omakoira-palvelun käyttö

Omahallinta.fi itsepalvelusivusto

Turvallinen internetin käyttö. Kai Salminen Product Manager Consumer Business / Broadband Elisa Oyj

Yleinen ohje LAITEYMPÄRISTÖ

Mobiilijäsenkortti. Mobiilikortin aktivointi

Ponnahdusikkunoiden käsittely eri selaimissa käyttöönotettaessa MediReseptiä

TIETOTURVAOHJE ANDROID-LAITTEILLE

Yhteydensaantiongelmien ja muiden ongelmien ratkaisuita

Visma Econet Pro Rajoitettu yrityslista. Ohje

Tiedostojen lataaminen netistä ja asentaminen

Tietoturvan Perusteet Yksittäisen tietokoneen turva

Navistools Standard. Navistools

AutoCAD Electrical - Päivitys

SQL Server 2005 Express Edition tietokannan asennusohje

Skype for Business pikaohje

Visma Fivaldi. Ohjeet Java web startin ja HTML5-työkalun aktivointiin

Written by Administrator Monday, 05 September :14 - Last Updated Thursday, 23 February :36

ohjeita kirjautumiseen ja käyttöön

Visma asiakaspalvelu Tukipyyntöjen lähettäminen

Transkriptio:

SANS Internet Storm Center WMF-haavoittuvuuden tiedotus http://isc.sans.org Käännös: http://je.org

Alustus Mitä ovat WMF-tiedostot ja mitä vikaa niissä on? Kuinka haavoittuvuutta käytetään tällä hetkellä? Kuinka voin suojautua? Mitä tulee tehdä, jos saan tartunnan? Päivitykset ja linkit epäviralliseen korjaukseen, katso http://handlers.sans.org/jullrich/wmffaq.html http://je.org/wmffaq

Tietoja Internet Storm Centeristä Cooperative Incidents Response Community Vapaaehtoisvoimin toimiva (noin 40 ISC käsittelijää) toimittajariippumaton operoi suurinta maailmanlaajuista operating the largest worldwide sensoriverkkoa, DShield.org. riippuvainen lukijoiden ja vapaaehtoisen suurista vapaa-ajanuhrauksista.

Mitä ovat WMF-tiedostot? WMF = Windows Meta File. Microsoftin oma kuvatiedostomuoto. Vektorigrafiikkaformaatti. Soveltuu muodoille ja viivagrafiikkaan, jota tarvitsee skaalata. Käytetään usein Microsoftin toimisto-ohjelmissa. Kuvan sisältö on kuvattu toimintoina, jotka piirtävät viivoja ja bittikarttoja. WMF-kuvat voivat suorittaa järjestelmän toiminnallisuuksia.

Mikä vika WMF-kuvissa on? Mielivaltainen toiminto voidaan määritellä osaksi SETABORTPROC koodia. Tämä koodi suoritetaan aina, kun kuvaa katsotaan. 'SETABORTPROC' toiminto suunniteltiin kutsuttavaksi kun tulostustyö haluttiin keskeyttää. Kuvat käsittelee dynaamisesti ladattava kirjasto (DLL) nimeltä shimgvw.dll. Tämä DLL välittää kuvan kirjastolle gdi32.dll, joka suorittaa koodin.

Miksi tämä on pahempi kuin muut haavoittuvuudet? Korjausta tai yksikertaista kiertotapaa ei ole. (Microsoft on ilmoittanut julkistavansa korjauksen 10.1.2006) Haavoittuvuuden hyväksikäyttä ei vaadi lainkaan tai vaatii hyvin vähäisiä toimenpiteitä käyttäjältä. Kuvia pidetään turvallisina, eikä käyttäjiä arveluta niiden avaaminen. Haavoittuvuutta käytetään jo hyväksi vahingoittavasti. Vahingollisia kuvia on vaikeaa havaita, koska paha koodi voi sijaita missä tahansa kuvatiedostossa. Tiedostopäätteellä ei ole merkitystä. Esikatselu/ikonien näyttö aktivoivat haittaohjelmakoodin. Indeksointisovellukset voivat aktivoida koodin ilman käyttäjän toimenpiteitä.

Kuinka haavoittuvuutta käytetään? Haavoittuvutta käyttäviä kuvia lisätään kaapatuille www-sivustoille. Kuvia lähetetään Instant Messengerillä. Kuvia lähetetään sähköpostitse. Haavoittuvuutta hyväksikäyttäviä kuvia käytetään useiden eri haittaohjelmatyyppien asentamiseen: takaovet / botit vakoiluohjelmat näppäilyt tallentavat ohjelmat mainostusohjelmat kaikki yllämainittu

Kuinka voin suojautua? Microsoft ei tarjoa minkäänlaista korjausta tällä hetkellä. Epävirallisen korjauksen on tehnyt Ilfak Guilfanov. Korjauksen ovat tarkistaneet ISC käsittelijä Tom Liston ja F-Securen antivirus-laboratorio. Poista haavoittunut kirjasto käytöstä estääksesi koodin suorituksen. Tällä hetkellä epävirallinen korjaus ja DLL-kirjaston poistaminen käytöstä ovat parhaat ratkaisut haavoittuvuuden hyväksikäytön estämiseen. Suosittelemme molempien tekemistä.

Miksi sekä kirjaston poisto, että korjaus? Kirjaston poistaminen käytöstä poistaa DLL:n joka käsittelee WMF-kuvia. Tämä ei kuitenkaan korjaa varsinaista haavoittuvuutta GDI32.dll -kirjastossa. Korjaus estää haitallisen koodin suorittamisen muokkaamalla DLL-kirjaston muistissa olevaa versiota. Varsinaiseen levyllä olevan DLL-kirjastoon ei kosketa. Molemmat vaaditaan, jotta saadaan paras suojaus. Sivutuloksena shimgvw.dll-kirjaston poistaminen käytöstä aiheuttaa, sen että joidenkin ohjelmien ns. thumbnail-toiminnot eivät toimi.

Muita ratkaisuja Palomuurit: Tyypillisesti sisällön tarkistuskyvyt ovat rajoittuneet. Mahdollinen ratkaisu on rajata käyttöön vain pieni määrä luotettuja sivustoja. Virustorjunta: Virustorjuntaohjelmien valmistajat työskentelevät tunnistaakseen hyväksikäyttöjen eri versiot. Tällä hetkellä kaikki valmistajat eivät pysty tunnistamaan kaikkia eri versioita. Rajoitetut käyttäjätunnukset: Rajoitetut käyttäjätunnukset voivat rajoittaa vahinkoa, mutta eivät estä mahdollista tartuntaa tapahtumasta. Data Execution Protection (DEP): Toimii vain jos koneen prosessori tukee sitä (esim. AMD64).

Muita ratkaisuja (2) Pelkkien.WMF-kuvien pysäyttäminen ei riitä, koska tiedostopäätteellä ei ole merkitystä. WMF tiedosto tunnistetaan niiden alussa olevan erityisen tunnisteen perusteella. Muun kuin Internet Explorer käyttö auttaa vain vähän, koska kyse ei ole varsinaisesta IE:n haavoittuvuudesta. Haavoittuvan DLL-kirjaston poistaminen toimii, mutta pitää tehdä oikein (sen jälkeen kun Windows File Protection on kytketty pois päältä) DLL-kirjaston poistaminen käytöstä on ok, mutta jokin sovellusta saattaa ottaa sen takaisin käyttöön.

Mitä jos koneesi saa tartunnan? Eristä tartunnan saanut kone. Toimi normaalien tartuntatapauksien ohjeiden mukaan. Soita Microsoftin tukeen 1-866-PCSAFETY. Useimmat hyväksikäytöt asentavat ylimääräisiä haittaohjelmia. Virustorjunta voi tunnistaa osan haittaohjelmista, mutta ei välttämättä kaikkia. Täydellinen palautus voi olla vaikeaa tai jopa mahdotonta. Palautus tuoreilta varmistuksilta on suositeltavaa.

Mistä löytyy lisätietoja? Internet Strom Center: http://isc.sans.org FAQ: http://isc.sans.org/diary.php?storyid=994 List of WMF related diaries: http://isc.sans.org/diary.php?storyid=993. Microsoft: http://www.microsoft.com/technet/security/adviso ry/912840.mspx Je.Org: FAQ: http://je.org/wmffaq

Kiitos! Tätä työtä ei olisi voitu tehdä ilman lukuisien lukijoiden apua, Ilfakin epävirallista korjausta, eikä ilman ISC:n vapaaehtoisia! Päivityksiä varten katso http://isc.sans.org ja http://je.org Ilmoita kaikista hyväksikäyttöyrityksista, päivityksistä tai lisätiedoista http://isc.sans.org/contact.php

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute