Af chefkonsulent Preben Andersen, UNI?C, leder af DK?CERT
Fuld kontrol med offerets pc. Så alvorlig kan konsekvensen være, hvis en angriber får held til at udnytte den ene af de sårbarheder, Microsoft rettede i septembers udsendelse af sikkerhedsrettelser.
Sårbarheden findes i modulet GDI+ (Graphics Device Interface Plus), der behandler grafik i Windows. Modulets behandling af JPEG-filer har en bufferoverløbssårbarhed.
Hvis en angriber udformer en JPEG-fil på en særlig måde, kan den forårsage et bufferoverløb. Herefter kan angriberen afvikle programkode på pc'en.
Hvis brugeren af pc'en er logget ind med administratorprivilegier, får angriberen på den måde fuld kontrol med pc'en.
Så sårbarheden er altså ganske alvorlig. Ydermere er den ikke helt enkel at beskytte sig imod. Ganske vist kan man installere den rettelse til styresystemet, som Microsoft har udsendt. Har man installeret Service Pack 2 til Windows XP, er man i forvejen beskyttet.
Flere er sårbare
Men rettelserne af styresystemet sikrer ikke imod, at nogle programmer kan anvende deres egen kopi af GDI+-modulet. Det gælder blandt andet Office-pakken, Microsoft Project, Visio og Visual Studio i flere versioner.
Som regel skyldes det, at udviklerne vil være sikre på kompatibiliteten. Derfor anvender de en version af GDI+, som de ved virker. Men den kan være sårbar. Derfor skal man også opdatere disse applikationer.
Det er let at forestille sig, hvordan en angriber kan udnytte sårbarheden: Han udarbejder en JPEG-fil, der forårsager et bufferoverløb og henter en trojansk hest via nettet. Filen udsender han via e-mail til en lang række modtagere.
Hvis de læser filen eller ser den i indholdsruden på en sårbar pc, opstår bufferoverløbet. Herefter inficeres deres pc med en trojansk hest, og angriberen kan begynde at udnytte den.
Sådan et angreb har vi imidlertid endnu ikke set. Så der er stadig tid til at opdatere Windows og andre sårbare programmer. Desuden kan man som forholdsregel slå indholdsruden fra i Outlook Express eller læse alle mails som ren tekst.
At der stadig kan være sårbare programmer på pc'en, kan være mindre alvorligt. For at udnytte dem skal angriberen nemlig ikke blot sende en mail med et JPEG-billede i - han skal også overbevise modtageren om at åbne billedet i den sårbare applikation. Så hvis blot man sikrer styresystemet, browseren og mail-programmet, er man nået langt.
Undgå filtrering
Nogle har foreslået, at man skal filtrere alle JPEG-filer fra i e-mails og på websider. Men det vil være svært at gøre.
En angriber kan udarbejde en JPEG-fil, der udnytter sårbarheden, og derefter omdøbe den, så den ser ud til at være en GIF- eller BMP-fil. Windows vil fortsat prøve at vise den som en JPEG-fil, så sårbarheden kan fortsat udnyttes. Så kunne man spærre for alle billedfiler, men her vil brugerne nok protestere.
It-sikkerhed er altid et spørgsmål om at finde balancen mellem at beskytte mest muligt og genere mindst muligt. At filtrere alle billeder fra e-mails og websider vil give for mange gener i forhold til udbyttet. I stedet kan man undervise brugerne i fornuftig omgang med e-mail - og så i øvrigt sikre, at alle pc'er opdateres med programrettelser.
Relevante links
Microsofts gennemgang af JPEG-problemet (på dansk)
Microsofts sikkerhedsbulletin MS04-028 (på engelsk)
Computerworld Onlines nyhed om sårbarheden
DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team. I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed. DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet.
Preben Andersen opdaterer den sidste fredag i hver måned Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.
