Lue uutinen mobiilisivustolla

WMF-viruksia liikkeellä, asiantuntijat suosittelevat epävirallista korjausta

1.1.2006 23:40 Metasploit-projekti on julkaissut entistä ehomman ja pahemman hyökkäyskoodin Windowsien WMF-haavaan, ja ensimmäiset viruksetkin ovat jo ilmestyneet sähköposteihin. Tietoturva-asiantuntijat suosittelevat epävirallisen korjaustiedoston asentamista.

Windows-käyttäjien uusi vuosi alkaa uhkaavissa merkeissä. Tietoturvayhtiöt varoittavat ensimmäisestä wmf-pikaviestimadosta ja haavoittuvuutta hyödyntävästä takaoviohjelmasta, jota levitetään roskapostiviesteissä.

Windows Metafile (wmf)-grafiikkatiedostojen käsittelyn haavoittuvuus tuli julki viime viikolla, kun sitä hyödynnettiin mainosohjelmien levittämisessä www-sivuilla.

Haavoittuvuuden avulla hyökkääjä voi suorittaa omaa ohjelmakoodiaan Windows-koneessa, jos käyttäjä esimerkiksi vierailee hyökkääjän www-sivulla. Aukkoa voi käyttää myös sähköpostimatojen levityksessä.

- Siihen asti kun Microsoft saa julkaistua päivityksen tälle [...] haavoittuvuudelle, surffaaminen, sähköpostin lukeminen ja pikaviesteillä chättäily on kuin venäläläisen ruletin pelaamista tietokoneella, tietoturvayhtiö Sunbeltin tutkimus- ja kehitysjohtaja Eric Sites kirjoittaa yhtiön blogissa.

Sites kertoo, että muun muassa McAfeen asiakkaista kuusi prosenttia on jo saanut tartunnan "ensimmäisen sukupolven" hyödyntämismenetelmää käyttävistä ohjelmista.

- Kuusi prosenttia asiakkaista on valtava määrä.

Uusi hyökkäyskoodi

Tilannetta pahentaa entisestään uusi hyökkäyskoodi, joka Internet Storm Centerin mukaan ainakin vielä sunnuntaina livahti lähes kaikkien virustorjuntaohjelmien läpi.

- Lähdekoodista päätellen toimivien tunnisteiden kehittäminen on erittäin vaikeaa wmf-tiedostojen rakenteen vuoksi, ISC varoittelee sivuillaan.

Hyökkäyskoodin julkaisi Metasploit-projektin puuhamies HD Moore lauantaina aamulla Suomen aikaa Full-Disclosure-postilistalla. Koodi päätyi nopeasti myös ranskalaisen tietoturvayhtiön FrSirtin sivuille ja varoitukseen.

Hyppönen: vastuutonta

Koodin julkaisijat saavat poikkeuksellisen suurta kritiikkiä monelta. F-Securen tutkimusjohtaja Mikko Hyppönen kommentoi hyökkäyskoodin julkaisua viikonloppuna yhtiön blogissa.

- Hyökkäyskoodin avulla mitäänosaamattomat tulokkaatkin pystyvät laatimaan muuntuvia ja erittäin vaikeasti havaittavia variaatioita kuvatiedostoista.

- Tällaisten työkalujen julkaiseminen samaan aikaan, kun valmistajalla ei ole päivitystä saatavilla, on vastuutonta - yksinkertaisesti ja selvästi vastuutonta, Hyppönen kritisoi.

F-Securen kanssa julkista paheksuntaa ovat harjoittaneet myös muun muassa Internet Storm Center sekä Sunbelt.

Viruksia roskapostiviesteillä

Tietoturvayhtiöt McAfee ja F-Secure varoittivat viikonloppuna wmf-haavoittuvuutta hyödyntävästä takaoviohjelmasta, jota levitetään roskapostiviesteissä. Viestien otsikkona on yhtiön mukaan "Happy New Year" ja liitetiedostona "HappyNewYear.jpg".

Kaspersky Labs puolestaan kertoi lauantaina havainneensa ensimmäisen wmf-haittaohjelman, joka leviää pikaviesteinä.

Molemmissa tapauksissa virusta levitetään jpg-päätteisenä tiedostona. Windows tunnistaa wmf-tiedostot otsikkotiedoista ja käsittelee ne haavoittuvalla komponentilla, joten tiedoston vaarallisuutta ei voi tässä tapauksessa päätellä päätteestä.

Epävirallinen päivitys

Internet Storm Center kehottaa ylläpitäjiä poikkeuksellisesti asentamaan epävirallisen päivityksen, jonka on laatinut Ilfak Guilfanov. ISC:n testien mukaan päivitys tekee sen, minkä lupaakin eli tukkii aukon. Se toimii Windows 2000- ja Windows XP-järjestelmissä.

ISC myös varoittaa, ettei Microsoftin viime viikon varoituksessa mainittu kiertokonsti tarjoa sataprosenttista suojaa. Microsoftin ohje on poistaa käyttöjärjestelmän rekisteristä shimgvw.dll-komponentti.

Tietoa päivityksestä jakoivat viikonloppuna muun muassa Viestintäviraston Cert-fi-ryhmä, Sunbelt ja F-Secure.

Epävirallinen päivitys on ladattavissa ISC:n palvelimilta.

Korjaus: Sunbeltin blogin mukaan tartuntojen määrästä asiakkaiden keskuudessa kertoi McAfee ei Trend Micro.

Jaakko Kuivalainen toimitus@digitoday.fi

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Seksuaalirikoksesta epäilty valmentaja löytyi kuolleena sellistä

• Putkirikko loi pienen järven Sörnäisten rantatielle – katso video
• Leijonat takoi ennätysnumerot T?ekistä
• Miljoonien viinakokoelma myyntiin vaimon vuoksi
• Kreikkaan vaaditaan uusia vaaleja