Windows-käyttäjiä kehotetaan wmf-hätäkorjauksiin
1
Niin tietoturvayritykset, viranomaiset kuin Microsoftkin kehottavat Windows-käyttäjiä hätäkorjauksiin erittäin vaarallisten wmf-kuvatiedostohyökkäysten torjumiseksi. Tällä kertaa kone saattaa saastua ilman mitään käyttäjän toimia, eikä edes virustorjuntaohjelma välttämättä auta.
Internet Storm Center kertoo, ettei Microsoft näytä pystyvän toimittamaan korjausta wmf-ongelmaan ehkäpä vielä reiluun viikkoon. Samalla rikolliset hyödyntävät turva-aukkoja laajalti, ja tilanne on käymässä entistäkin vaarallisemmaksi. Tietokone voi saastua automaattisesti, jos esimerkiksi sähköpostiohjelma on auki. Hyökkäyskoodi lähtee pyörimään heti, kun wmf-kuvan sisältämä posti on tullut ohjelmaan, ilman mitään käyttäjän toimia.
Levityksessä on myös automaattisia matoja, myös pikaviestiverkoissa leviäviä matoja. Hyökkäyksiä levitetään myös lukemattomilla nettisivuilla, ja jopa Google Desktop-hakukoneen käyttö voi riittää tartunnan saamiseen.
F-Securen mukaan haavoittuvuuden avulla on hyväksikäytetty aktiivisesti tietokoneita myös Suomessa, vaikka niiden käyttöjärjestelmä oli täysin päivitetty. Aukkoa on hyödynnetty esimerkiksi vakoilu- ja mainosohjelmien asentamiseen.
"Venäläistä rulettia"
Uusimmat hyökkäysmetodit ovat entistäkin vaarallisempia. Hyökkäyksiin käytettyjä wmf-kuvatiedostoja muunnellaan jatkuvasti, ja erilaisia versioita on ilmeisesti liikkeellä jo satoja. Tietoturvatutkijoiden raporttien mukaan virustorjuntaohjelmat eivät meinaa pysyä mukana, ja hyökkäyksillä on varsin suuri mahdollisuus livahtaa suojausten läpi.
Sunbelt-yhtiön mukaan esimerkiksi McAfee myönsi lauantaina, että kuusi prosenttia sen asiakkaista oli joutunut hyökkäyksen uhriksi, mikä tarkoittaa valtavaa määrää tietokoneita. Sunbelt toteaa, että kunnes Microsoft julkaisee päivityksen, "webissä surffaaminen, sähköpostin lukeminen ja pikaviestimillä chättäily on kuin venäläistä rulettia".
Käyttäjiä kehotetaan yksinkertaiseen korjaukseen
Microsoft ei ole julkaissut varsinaista turvapäivitystä wmf-ongelmaan, mutta yhtiön tietoturvablogista löytyvät suomenkieliset ohjeet ongelman tilapäiseen korjaukseen. Komentokehotteella annettavalla yksinkertaisella käskyllä voidaan poistaa wmf-kuvatiedostojen käyttämän dll-tiedoston rekisteröinti, mikä estää kuvien näyttämisen.
Korjaus ei kuitenkaan poista kaikkia hyökkäystapoja. Sen vuoksi esimerkiksi Internet Storm Center (vetoomus), F-Secure (ohjeet) ja monet muutkin tietoturvayhtiöt ovat julkaisseet harvinaisia kehotuksia käyttää ulkopuolista korjausta. Korjauksen on kehittänyt tunnettu Windows-asiantuntija Ilfak Guilfanov. Hänen korjauksensa toimii Windows XP ja -2000 -käyttöjärjestelmissä, ja tietoturvayhtiöiden mukaan se poistaa turva-aukon tehokkaasti.
Yrityksille suositellaan suodatuksia
F-Secure suosittaa, että yritysten it-vastaavat pysäyttävät kaikki wmf-tiedostot sekä nettiselailun http-protokollan että sähköpostin smtp-protokollien yhteydessä.
Ennen kuin Windows-päivitys on julkaistu, F-Securen Mikko Hyppönen kehoittaa it-vastaavia pysäyttämään seuraavista osoitteista tulevan liikenteen yrityksen palomuurilla:
www.ritztours.com
toolbarbiz[dot]biz
toolbarsite[dot]biz
toolbartraff[dot]biz
toolbarurl[dot]biz
buytoolbar[dot]biz
buytraff[dot]biz
freecat[dot]biz
iframebiz[dot]biz
iframecash[dot]biz
iframesite[dot]biz
iframetraff[dot]biz
iframeurl[dot]biz
