细说WMF漏洞

申请免费试用、咨询电话：400-8352-114

WMF漏洞的性质是什么？哪些系统会受到感染？

最近一个多星期来，IT人员一直在竭力阻挡与最近披露的Windows元文件（WMF）漏洞有关的攻击。为此，《Computerworld》的安全栏目编辑Angela Gunn整理出了一份全面的常见问题（FAQ），介绍该漏洞的工作原理、哪些系统会受到感染以及可以采取的对策。

问题所在

这是什么样的漏洞？这是涉及WMF文件的重大安全漏洞。针对该漏洞的不法分子可以利用WMF文件在目标机器上运行恶意代码——利用间谍软件进行感染、窃取数据，或者把该机器加入到僵尸网络当中。这个问题存在已有多年，但直到2005年12月底才公布被人发现。

哪些版本的Windows易受攻击？微软声明，该漏洞存在于Windows 98以后的所有版本的Windows，不过实际上，只有安装的XP和Server 2003可能会有问题。安全公司Secunia证实，下列系统面临危险: Microsoft XP Pro、Microsoft XP Home、Microsoft Windows Server 2003数据中心版本、Microsoft Windows Server 2003企业版本和Microsoft Windows Server 2003标准版本。

Mac、Linux或者Unix系统易受攻击吗？这还用问？它们当然安全多了。

实际情况

是不是任何实际的恶意软件都针对这个漏洞？漏洞编写者从来就不会休息，也不会放慢脚步。截至1月4日，CastleCops.com的讨论版上列出的已知漏洞已有73个; 而迄今为止，防病毒公司Sophos报告的攻击方法已超过200种。

漏洞是如何传播的？凡是关注恶意软件领域的人对感染途径都不会陌生: 从电子邮件或者即时消息里面打开的图形或者可执行文件、恶意或者受危及的网站、虚假的电子贺卡、虚假的系统信息等等。防病毒公司已发现了一种名为WMFMaker的独立实用程序会迅速构建恶意的WMF。据了解，该程序被用于漏洞的第一轮行动当中。

漏洞的攻击顺序如何？用户点击WMF文件后，该文件就会调用shimgvw.dll库; 该库进而调用gdi32.dll库里面的Escape()函数。Escape()有一个名为SETABORTPROC的子函数，它让用户可以在假脱机操作期间取消来自不同应用里面的打印任务。该漏洞针对的目标就是SETABORTPROC。它会导致缓冲器溢出，从而让目标计算机运行文件WMF里面的恶意代码。

DLL和函数会进行什么操作？

● Shimgvw由Windows图片和传真查看器（Picture and Fax Viewer）使用，Windows的这个默认程序可以查看众多文件格式。包括Mozilla在内的其他应用程序也依靠这个DLL。

● 如微软介绍的那样，Windows图形显示界面（GDI）“使应用程序能够使用视频显示和打印机上的图形和格式化文本。基于微软Windows的应用程序不会直接访问图形硬件; 相反，GID代表应用程序与设备驱动程序进行联系。GDI可以用于基于Windows的所有应用程序。”

● Escape()函数把来自GDI库的某些调用转换至访问某个设备（如扫描仪或者打印机）的驱动程序。

● SETABORTPROC提供了较新版本的Windows和较旧的16位版本之间的兼容性，从而使之成为所谓的向后兼容或者“回归”错误。

漏洞的有效载荷是什么？可以是各种类型的可执行文件，但迄今为止，有效载荷似乎主要是广告软件和间谍软件这两类。有些版本试图把受感染机器加入僵尸网络，大概是为了以后用来实现阴谋。赛门铁克声称，名为PWSteal.Bankash.G的一种漏洞携带能窃取口令的特洛伊木马，它还会企图通过随机性的TCP端口打开代理服务器。

这跟早在去年11月的漏洞是不是同一回事？不是，那是另一个问题，会影响WMF和EMF（扩展元文件）两种格式。对时时关注安全的人来说，早些时候的那个漏洞在微软的安全公告MS05-053里面有所描述。微软的安全公告912840介绍了这个新问题。针对早些时候的漏洞发布的补丁解决不了这个新问题。

现有解决方案

补丁会采取什么操作？据补丁编写者Ilfak Guilfanov声称，非官方的Hexblog补丁可以阻止调用gdi32.dll里面的Escape()函数，这样就无法使用易受攻击的SETABORTPROC子函数了。运行补丁后，用户还应该清除shimgvw.dll库的注册信息。Hexblog的补丁可以打在Win2000、XP、XP64和Win2003等系统上。

当然，微软正在开发补丁。发布前版本曾在开发人员的讨论版上短暂露过面，后来可能因为是存在错误又被撤下了。微软称，发布版本要到1月10日才提供。该公司建议用户在安装官方补丁之前，先清除shimgvw.dll库的注册信息。

不是微软开发的补丁安全吗？微软及Gartner公司等一些研究机构建议系统管理员最好不要安装Hexblog补丁，并强调大多数主要的防病毒软件包已经发布了最新的特征码，能够解决这问题。但其他信誉卓著的机构如SANS Institute下设的因特网风暴中心建议安装Hexblog补丁。美国计算机紧急响应小组（US-CERT）并没有表态，但确实提供了指向Hexblog补丁的链接。

如果我单单阻挡WMF扩展名可以吗？不行。带.bmp、.gif和.jpg等扩展名的其他图形文件可能也会成问题，因为渲染引擎在确定文件类型时检查的是文件头（不是扩展名）。

单单清除shimgvw.dll库的注册信息可以吗？微软声称，这办法目前可行，但外部的安全专家强调， 清除shimgvw.dll的注册信息只是权宜之计，这只是调用gdi32.dll里面的函数。编写的漏洞有可能直接调用gdi32.dll，从而感染机器。此外，使用shimgvw.dll库的Windows图片和传真查看器只是查看XP和Server 2004里面的WMF和图形文件的默认程序。如果Google Search等桌面搜索软件碰巧搜索到受感染的文件，这类软件可能也会触发漏洞，F-Secure公司的测试博客对此有详细介绍。另外，IBM向Lotus Notes用户发布公告: 该公司正在调查Notes的文件查看器是否会执行有问题的代码; 赛门铁克公司似乎肯定: Notes无疑面临风险。

如果我安装了非官方补丁，如何处理官方补丁呢？Guilfanov声称，两者之间不会有冲突，不过他还是建议用户安装微软的补丁后把他开发的补丁卸载掉。该补丁会显示在“添加/删除程序”窗口里面。用户还要记得到时清除shimgvw.dll的注册信息。

人为因素

这个Guilfanov是何许人也？Ilfak Guilfanov编写了IDA Pro，这个流行的反汇编程序用来在二进制代码层面调查这种恶意软件。目前，他受雇于比利时的Datarescue公司，该公司在去年12月28日即WMF问题披露后一天发布了IDA Pro下一个版本的预览版。

我该如何向不懂技术的上司或者用户解释这个问题？即便你已经设法教会用户良好的上网习惯（注意在电子邮件里面点击的内容、远离有问题的网站等等），但他们仍容易受到攻击，至少从理论上来说是这样——由于恶意软件编写者竞相在1月10日微软发布补丁之前行动，你要劝用户在接下来一周应特别小心。所有用户在点击附件（哪怕来自已知的电子邮件地址或者IM好友）时，都要小心行事。由HTML电子邮件改用纯文本电子邮件也是个好办法。使用IE浏览器的那些人应当暂时禁用下载功能，即把浏览器Internet区域的安全级别设为“高”。WMF文件打开之前，Firefox和Opera用户会得到提示。应当鼓励这些用户不要打开文件。而对选择使用非官方补丁但仍需要向本组织其他人解释这一选择的人来说，SANS提供了采用PDF和PowerPoint格式的简短说明。 (CCW)