Infocon がイエローに! Windows WMF 0-day の危険性が高まる!!

  ニュース

インターネットストームセンターのインフォコンがイエローに変更!

Windows WMF 0-day の脆弱性の重大性によりインフォコンの変更が行われた。警戒態勢を!
Internet Storm Center Infocon Status

Websense Labs が WMF 0-day の実証ムービーを公開

…感染したくないけどどうなるのか知りたい人はこのムービー見よう。 (((( ;゚д゚)))アワワワワ
http://www.websensesecuritylabs.com/images/alerts/wmf-movie.wmv

Metasploit Framework が WMF 0-day を早くも実装

Exploit Module: ie_xp_pfv_metafile
Description: This module exploits a vulnerability in the Windows Picture and Fax Viewer found in Windows XP and 2003. This vulnerability uses a corrupt Windows Metafile to execute arbitrary code and was reported by noemailpls[at]noemail.ziper to the Bugtraq mailing list after being discovered in the wild at the following URL: http://unionseek[DOT]com/d/t1/wmf_exp.htm

Microsoft がアドバイザリを公開、ワークアラウンドも

Microsoft Security Advisory (912840): Vulnerability in Graphics Rendering Engine Could Allow Remote Code Execution.
…アドバイザリの中で、今後のアップデートにて対策を行うことを約束している。
 不審なサイトを訪問、不審なメールの開封に注意すること。また、メールをプレーンテキストで読むこと。
ワークアラウンド(暫定回避策):
 問題のコードを含む shimgvw.dll を Windows システムから切り離す。
 (やり方)スタート → ファイル名を指定して実行 → “regsvr32 -u %windir%\system32\shimgvw.dll”
 (影響) 「Windows 画像と FAX ビューア」が利用できなくなる。エクスプローラーで「縮小版」表示ができなくなる。
 (戻し方)スタート → ファイル名を指定して実行 → “regsvr32 %windir%\system32\shimgvw.dll”

各CERT からもアラート

US-CERT Technical Cyber Security Alert TA05-362A — Microsoft Windows Metafile Handling Buffer Overflow
FrSIRT Advisories – Microsoft Windows WMF Handling Remote Code Execution Vulnerability / Exploit
AusCERT – AL-2005.0043 — [Win] — Unpatched flaw in WMF image file handling exploited in wild
JPCERT/CC Alert 2005-12-29 Microsoft Windows Metafile handler Vulnerabilities
…(JPCERT/CCより)Microsoft Windows における画像や図を表示するためのメタファイル”.wmf”の処理に存在する脆弱性を狙った攻撃手法が公開されました。
 と拡張子”.wmf”のみを強調しているが、「Windows 画像と FAX ビューア」に関連付けられている拡張子はすべて危険である。
 たとえば、”.wmf”→”.png”と拡張子を変更しても今回の攻撃は実行可能である。 Σ(゚д゚lll)アブナッ !

Exploit Code