Lue uutinen mobiilisivustolla

WMF-viruksia liikkeellä, asiantuntijat suosittelevat epävirallista korjausta

1.1.2006 23:40 Metasploit-projekti on julkaissut entistä ehomman ja pahemman hyökkäyskoodin Windowsien WMF-haavaan, ja ensimmäiset viruksetkin ovat jo ilmestyneet sähköposteihin. Tietoturva-asiantuntijat suosittelevat epävirallisen korjaustiedoston asentamista.

Windows-käyttäjien uusi vuosi alkaa uhkaavissa merkeissä. Tietoturvayhtiöt varoittavat ensimmäisestä wmf-pikaviestimadosta ja haavoittuvuutta hyödyntävästä takaoviohjelmasta, jota levitetään roskapostiviesteissä.

Windows Metafile (wmf)-grafiikkatiedostojen käsittelyn haavoittuvuus tuli julki viime viikolla, kun sitä hyödynnettiin mainosohjelmien levittämisessä www-sivuilla.

Haavoittuvuuden avulla hyökkääjä voi suorittaa omaa ohjelmakoodiaan Windows-koneessa, jos käyttäjä esimerkiksi vierailee hyökkääjän www-sivulla. Aukkoa voi käyttää myös sähköpostimatojen levityksessä.

- Siihen asti kun Microsoft saa julkaistua päivityksen tälle [...] haavoittuvuudelle, surffaaminen, sähköpostin lukeminen ja pikaviesteillä chättäily on kuin venäläläisen ruletin pelaamista tietokoneella, tietoturvayhtiö Sunbeltin tutkimus- ja kehitysjohtaja Eric Sites kirjoittaa yhtiön blogissa.

Sites kertoo, että muun muassa McAfeen asiakkaista kuusi prosenttia on jo saanut tartunnan "ensimmäisen sukupolven" hyödyntämismenetelmää käyttävistä ohjelmista.

- Kuusi prosenttia asiakkaista on valtava määrä.

Uusi hyökkäyskoodi

Tilannetta pahentaa entisestään uusi hyökkäyskoodi, joka Internet Storm Centerin mukaan ainakin vielä sunnuntaina livahti lähes kaikkien virustorjuntaohjelmien läpi.

- Lähdekoodista päätellen toimivien tunnisteiden kehittäminen on erittäin vaikeaa wmf-tiedostojen rakenteen vuoksi, ISC varoittelee sivuillaan.

Hyökkäyskoodin julkaisi Metasploit-projektin puuhamies HD Moore lauantaina aamulla Suomen aikaa Full-Disclosure-postilistalla. Koodi päätyi nopeasti myös ranskalaisen tietoturvayhtiön FrSirtin sivuille ja varoitukseen.

Hyppönen: vastuutonta

Koodin julkaisijat saavat poikkeuksellisen suurta kritiikkiä monelta. F-Securen tutkimusjohtaja Mikko Hyppönen kommentoi hyökkäyskoodin julkaisua viikonloppuna yhtiön blogissa.

- Hyökkäyskoodin avulla mitäänosaamattomat tulokkaatkin pystyvät laatimaan muuntuvia ja erittäin vaikeasti havaittavia variaatioita kuvatiedostoista.

- Tällaisten työkalujen julkaiseminen samaan aikaan, kun valmistajalla ei ole päivitystä saatavilla, on vastuutonta - yksinkertaisesti ja selvästi vastuutonta, Hyppönen kritisoi.

F-Securen kanssa julkista paheksuntaa ovat harjoittaneet myös muun muassa Internet Storm Center sekä Sunbelt.

Viruksia roskapostiviesteillä

Tietoturvayhtiöt McAfee ja F-Secure varoittivat viikonloppuna wmf-haavoittuvuutta hyödyntävästä takaoviohjelmasta, jota levitetään roskapostiviesteissä. Viestien otsikkona on yhtiön mukaan "Happy New Year" ja liitetiedostona "HappyNewYear.jpg".

Kaspersky Labs puolestaan kertoi lauantaina havainneensa ensimmäisen wmf-haittaohjelman, joka leviää pikaviesteinä.

Molemmissa tapauksissa virusta levitetään jpg-päätteisenä tiedostona. Windows tunnistaa wmf-tiedostot otsikkotiedoista ja käsittelee ne haavoittuvalla komponentilla, joten tiedoston vaarallisuutta ei voi tässä tapauksessa päätellä päätteestä.

Epävirallinen päivitys

Internet Storm Center kehottaa ylläpitäjiä poikkeuksellisesti asentamaan epävirallisen päivityksen, jonka on laatinut Ilfak Guilfanov. ISC:n testien mukaan päivitys tekee sen, minkä lupaakin eli tukkii aukon. Se toimii Windows 2000- ja Windows XP-järjestelmissä.

ISC myös varoittaa, ettei Microsoftin viime viikon varoituksessa mainittu kiertokonsti tarjoa sataprosenttista suojaa. Microsoftin ohje on poistaa käyttöjärjestelmän rekisteristä shimgvw.dll-komponentti.

Tietoa päivityksestä jakoivat viikonloppuna muun muassa Viestintäviraston Cert-fi-ryhmä, Sunbelt ja F-Secure.

Epävirallinen päivitys on ladattavissa ISC:n palvelimilta.

Korjaus: Sunbeltin blogin mukaan tartuntojen määrästä asiakkaiden keskuudessa kertoi McAfee ei Trend Micro.

Jaakko Kuivalainen toimitus@digitoday.fi

Kommentoi

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit.
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kolme ynnä yhdeksäntoista?
Syötä vastaus numeroina

Viesti
Vähimmäispituus 30 merkkiä

Nimimerkki
Käytä ainoastaan kirjaimia ja numeroita, välilyönnit eivät ole sallittuja.

Varaa oma nimimerkkisi Taloussanomien uutiskommentointiin rekisteröitymällä käyttäjäksi tai kirjaudu sisään.

Rekisteröityminen ja nimimerkin varaus eivät ole pakollisia.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.

Olet kirjautunut sisään, muttet ole vielä valinnut omaa, muille käyttäjille näkyvää nimimerkkiäsi. Varaa nimimerkki omaksesi kirjoittamalla se nimimerkki-kenttään.

Varauksen jälkeen muut eivät voi käyttää nimimerkkiäsi ja se näkyy automaattisesti kaikissa kirjoittamissasi viesteissä.

Huomioithan, ettei nimimerkkiä ei voi muuttaa jälkikäteen.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.