Lỗi tràn bộ đệm liên quan tới tệp tin con trỏ chuột động trong Windows

29/03/2007

Giới thiệu

Microsoft Windows có thể bị tràn bộ đệm khi xử lý các file con trỏ chuột động. Lỗ hổng này cho phép một kẻ tấn công từ xa có thể thực thi các đoạn mã bất kỳ hoặc tạo điều kiện cho việc tấn công từ chối dịch vụ (DoS).

I. Mô tả

Các file con trỏ chuột động (.ani) chứa các hình ảnh động để làm biểu tượng (icon) hoặc con trỏ chuột (cursor). Các file con trỏ chuột động được lưu trữ dưới dạng dữ liệu RIFF (Resource Interchange File Format). Lỗ hổng tràn bộ đệm sẽ xảy ra khi Microsoft Windows xử lý các file con trỏ chuột có chứa mã độc độc hại. Lý do là Microsoft Windows không thực hiện việc kiểm tra tính hợp lệ kích thước phần tiêu đề (header) của file con trỏ chuột động.

Chú ý

1. Windows Explorer cũng sẽ xử lý các file con trỏ chuột động có các đuôi mở rộng khác nhau như .ani, .cur hay .ico

2. Các file con trỏ chuột động cũng được diễn dịch khi mở thư mục chứa nó ra hoặc khi sử dụng các file đó làm con trỏ chuột. Hơn nữa, Internet Explorer có thể xử lý các file con trỏ chuột động trong các tài liệu dạng HTML, vì vậy mà các trang Web và thư điện tử ở dạng HTML cũng có khả năng tạo ra lỗ hổng này.

3. Bất cứ ứng dụng Windows nào cũng có thể gọi đến đoạn mã tạo ra lỗ hổng để xử lý các file con trỏ chuột động.

Để biết thêm thông tin, xem tại Microsoft Security Advisory Bulletin MS07-017.
Các đoạn mã khai thác lỗ hổng này được công bố rộng rãi, và đang được các hacker sử dụng rất mạnh.

II. Ảnh hưởng

Một kẻ tấn công từ xa và không được chứng thực có thể thực thi thực thi các đoạn mã bất kỳ hoặc tạo điều kiện cho việc tấn công từ chối dịch vụ (DoS).

III. Giải pháp

Cập nhật từ Microsoft

Microsoft đã công bố các bản cập nhật cho lỗ hổng này tại Microsoft Security Bulletin MS07-017.

Ngăn chặn truy cập vào các file con trỏ chuột động lạ ngay tại vùng biên của mạng.

Bằng cách ngăn chặn truy cập vào các file con trỏ chuột động lạ thông qua các công cụ như: HTTP proxy, mail server,… người quản trị hệ thống có thể hạn chế được các nguy hiểm tiềm tàng.

Chỉ dựa vào phần đuôi mở rộng .ANI, .CUR, .ICO là không triệt để đối với lỗ hổng này. Cơ chế lọc nên dựa vào nội dung của các file, tức là tìm kiếm bất cứ file nào mà Microsoft Windows chấp nhận sử dụng nó làm file con trỏ chuột động. Các file con trỏ chuột động được bắt đầu với chuỗi ASCII: RIFF (mã Hex là 52 49 46 46). Các file con trỏ chuột động có chứa mã độc có chuỗi anih tiếp sau là giá trị 0x24, sau đó một chuỗi anih nhưng tiếp sau đó lại là một giá trị khác 0x24. Đảm bảo các biện pháp ngăn chặn và phát hiện đã được cập nhật dấu hiệu này.

Cấu hình Outlook để hiển thị thông điệp email dạng thuần văn bản

Kẻ tấn công khai thác lỗ hổng thành công khi người dùng xem các email độc hại dạng HTML. Hành vi xem email có thể tự động xảy ra nếu mail client bật chế độ xem trước. Cấu hình Outlook để hiển thị email dạng thuần văn bản là một biện pháp có thể giúp ngăn chặn việc khai thác lỗ hổng.

Chú ý: Lựa chọn hiển thị email dạng thuần văn bản trong Outlook Express sẽ không có tác dụng. Cách giải quyết này chỉ thực hiện được khi sử dụng Microsoft Outlook

Tắt chế độ xem trước

Bằng cách tắt chế độ xem trước trong mail client, các email sẽ không thể tự động được hiển thị.

Cấu hình Windows Explorer để sử dụng Windows Classic Folders

Window Explorer mặc định sử dụng cấu hình “Show common tasks in folders”, khi được chọn file HTML có kèm mã độc sẽ tự động thực thi. Để giới các nguy hiểm tiềm tàng của lỗ hổng này, người dùng được khuyến cáo nên sử dụng tuỳ chọn “Use Windows classic folders” theo các bước sau:

1. Mở Windows Explorer

2. Chọn Folder Options từ menu Tools

3. Chọn “Use Windows classic folders” trong phần Tasks

Không bấm vào các liên kết không rõ ràng

Để làm cho người sử dụng vào các website của mình, kẻ tấn công thường sử dụng các URL mã hóa, các dạng khác nhau của địa chỉ IP, các URL dài, các lỗi chính tả có chủ ý và những kỹ thuật khác để tạo ra các liên kết sai lệch. Người sử dụng không nên bấm vào các liên kết không rõ ràng nhận được từ email, tin nhắn nhanh, diễn đàn, hoặc các kênh IRC. Tốt nhất hãy gõ URL trực tiếp vào trình duyệt. Dù đây là cách tốt nhưng cách này cũng không ngăn chặn được sự khai thác điểm yếu này trong tất cả các trường hợp, đặc biệt là những website tin cậy mà đã bị kẻ tấn công sửa đổi hoặc cho phép các đoạn mã cross-site.

Các hệ thống bị ảnh hưởng

Microsoft Window 2000, XP, Server 2003, và Vista đều bị ảnh hưởng

Tham khảo

• CBKT07-001 và CBKT07-002
• http://www.microsoft.com/technet/security/bulletin/ms07-017.mspx
• http://blogs.technet.com/msrc/search.aspx?q=935423
• http://www.microsoft.com/technet/security/advisory/935423.mspx
• http://www.determina.com/security.research/vulnerabilities/ani-header.html
• http://vil.nai.com/vil/content/v_141860.htm
• http://www.avertlabs.com/research/blog/?p=230
• http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?Vname =TROJ%5FANICMOO%2EAX&VSect=T
• http://secunia.com/advisories/24659/
• http://research.eeye.com/html/alerts/zeroday/20070328.html
• http://xforce.iss.net/xforce/alerts/id/258