GRE WMF Vulnerability

Apa itu GRE WMF Vulnerability???
mari bahas itu disini .....
WMF adalah kepanjangan dari Windows Meta File, WMF merupakan format file 16
bit yang mengandung informasi vector dan bitmap yang digunakan pada OS
Windows dan digunakan oleh OS Windows untuk menampilkan gambar dan fax.
Masalahnya adalah ada celah keamanan pada GRE (Graphic Rendering Engine)
yang jika dieksploitasi dengan kode tertentu akan mengakibatkan pengambil
alihan komputer korban secara total. Celakanya WMF digunakan pada semua
versi Windows dan digunakan sebagai viewer file gambar dan fax sehingga
cakupan komputer yang dapat diserang sangat luas. Khusus untuk pengguna
komputer Indonesia dimana kalau pada serangan virus sebelumnya OS "kuno"
seperti Windows 98 dan Windows ME yang masih tinggi pupolasinya relatif aman
dari serangan virus karena sudah "tidak diperhatikan" oleh pembuat virus
maka Vaksincom menyarankan para pengguna OS ini khususnya Warnet, Sekolah,
Institusi bisnis ataupun perorangan untuk berhati-hati dan melakukan
tindakan pencegahan yang tepat kalau tidak mau komputernya menjadi korban
serangan virus WMF yang diperkirakan akan mengganas dalam waktu beberapa
hari ini.

Mengapa GRE WMF berbahaya
Celah kemanan GRE WMF berbahaya karena :
1. Pembuat malware hanya perlu menuntun korbannya ke link / alamat
internet yang mengandung file yang direkayasa. Jadi tinggal mengirimkan link
melalui email, browser atau messenger sudah cukup untuk mengaktifkan
eksploitasi ini.
2. Metode untuk eksploitasi celah keamanan melalui email juga sangat
mudah dan file yang digunakan sebagai sarana eksploitasi adalah file gambar
yang selama ini dianggap aman dan umumnya diloloskan oleh mailserver. EG
file jpg, gif, tiff dan bmp.
3. Memblok file dengan ekstensi WMF seperti yang biasa dilakukan
sebagai "jurus pamungkas" administrator mailserver dalam melindungi email
dari virus TIDAK MEMPAN karena lampiran yang datang bisa menggunakan
ekstensi gambar yang lain seperti jpg, gif atau bmp dan jika dijalankan,
Windows akan tetap menggunakan GRE WMF untuk menjalankan file tersebut.
4. Mencakup OS windows yang sangat luas (segambreng :P), baik dari
Windows 98 / ME / NT/ 2000 / XP sampai 2003 baik server mapun workstation.
5. Tidak ada tambalan / patch resmi yang dikeluarkan oleh Microsoft
(sampai dengan tanggal 9 Januari 2006) sehingga secara teknis semua komputer
terancam atas eksploitasi ini, kalaupun ada hanya solusi sementara
menonaktifkan Windows Picture dan Fax viewer (Shimgvw.dll) atau menggunakan
tambalan celah keamanan yang dibuat oleh Ilfak Guilfanov (pihak ketiga).
6. Kode eksploitasi atas celah keamanan ini sudah banyak sekali beredar
di dunia underground, menurut pantauan Vaksincom sudah ada 50 lebih kode
eksploitasi yang beredar dan dapat dipastikan munculnya virus baru yang
berbahaya dan sukses memanfaatkan celah keamanan ini tinggal menunggu hari.
7. Eksploitasi dapat dilakukan dengan berbagai media, baik melalui
email, website, chatting atau sarana lain yang memungkinkan pengiriman link
http.
8. Meskipun pengguna Internet Explorer (dengan setting security
standar) secara otomatis akan tereksploitasi, pengguna browser lain seperti
Firefox juga tidak lolos dari ancaman ini, karena yang membedakan hanyalah
Firefox akan menampilkan konfirmasi apakah mau menjalankan file .wmf yang
selama ini dianggap aman dan ada "hobi" mengklik tombol [OK] dikalangan
pengguna komputer awam.
Ancaman saat ini
Sampai dengan saat informasi ini dibuat, Vaksincom sudah mendeteksi beberapa
virus yang mulai mengeksploitasi celah keamanan ini dan digolongkan sebagai
ancaman tingkat tinggi seperti Exploit-WMF trojan, Exploit.Win32.IMG-WMF.a,
Troj/DownLdr-QB. Sampai saat ini, para vendor antivirus sangat aktif
memonitor perkembangan terakhir dan Vaksincom menyarankan para pengguna
internet untuk aktif mengupdate program antivirusnya dengan definisi
terakhir. Norman Virus Control sudah dapat mendeteksi Exploit-WMF Trojan
yang disebarkan melalui email dengan lampiran Happynewyear.jpg yang jika di
jalankan akan menuntun komputer penerima ke satu alamat website untuk
mendownload trojan lain. "Untungnya" website yang mengandung trojan tersebut
berhasil diidentifikasi dan dilumpuhkan, namun belajar dari pengalaman masa
lalu, pembuat virus tinggal meluncurkan varian baru dan terkadang website
yang "ditanami" virus ini jumlahnya ratusan sehingga merupakan hal yang
sangat sulit dan memakan waktu banyak melumpuhkan website-website ini. Belum
lagi kalau pembuat virusnya menjadikan semua komputer korbannya sebagai host
file exploit sehingga hampir mustahil untuk memblok semua host file exploit
secara manual. Hal terbaik yang dapat dilakukan adalah dengan menutup celah
keamanan dan menggunakan program antivirus dengan definisi terbaru sehingga
dapat mendeteksi virus ini.
Pada saat ini, virus-virus baru yang memanfaatkan celah keamanan ini
berlomba bermunculan dan sang waktu yang menentukan virus mana yang berhasil
mengeksploitasi celah keamanan dengan sukses.

Bagaimana mengatasi hal ini ?
Ada dua cara untuk selamat dari ancaman eksploitasi celah keamanan ini :
1. Unregister Windows Picture and Fax viewer
o Klik [Start] [Run] ketik [regsvr32 -u %windir%\system32\shimgvw.dll]
dan klik [Ok]
o Anda akan mendapatkan kotak dialog yang mengkonfirmasikan bahwa
proses ini sudah berhasil. Klik [Ok] untuk menutup dialog.
Dampak dari hal ini adalah Windows Picture and Fax Viewer
tidak akan dijalankan secara otomatis ketika anda mengklik gambar yang
diasosiasikan dengannya.
Untuk mengembalikan kembali settingan ini (jika patch / tambalan atas celah
keamanan ini sudah tersedia) :
* Klik [Start] [Run] ketik [regsvr32 %windir%\system32\shimgvw.dll]
dan klik [Ok]
* Anda akan mendapatkan kotak dialog yang mengkonfirmasikan bahwa
proses ini sudah berhasil. Klik [Ok] untuk menutup dialog.
2. Gunakan tambalan celah keamanan yang dibuat oleh Ilfak Guilfanov
Ilfak Guilfanov adalah pakar "reverse engineering" yang juga
pembuat IDA Disassembler.
download here

OS yang terancam celah keamanan ini
Microsoft Windows XP Tablet PC Edition SP2
Microsoft Windows XP Tablet PC Edition SP1
Microsoft Windows XP Tablet PC Edition
Microsoft Windows XP Professional x64 Edition
Microsoft Windows XP Professional SP2
Microsoft Windows XP Professional SP1
Microsoft Windows XP Professional
Microsoft Windows XP Media Center Edition SP2
Microsoft Windows XP Media Center Edition SP1
Microsoft Windows XP Media Center Edition
Microsoft Windows XP Home SP2
Microsoft Windows XP Home SP1
Microsoft Windows XP Home
Microsoft Windows Server 2003 Web Edition SP1
Microsoft Windows Server 2003 Web Edition
Microsoft Windows Server 2003 Standard x64 Edition
Microsoft Windows Server 2003 Standard Edition SP1
Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Server 2003 Enterprise x64 Edition
Microsoft Windows Server 2003 Enterprise Edition 64-bit SP1
Microsoft Windows Server 2003 Enterprise Edition 64-bit
Microsoft Windows Server 2003 Enterprise Edition SP1
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Datacenter x64 Edition
Microsoft Windows Server 2003 Datacenter Edition 64-bit SP1
Microsoft Windows Server 2003 Datacenter Edition 64-bit
Microsoft Windows Server 2003 Datacenter Edition SP1
Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows ME
Microsoft Windows 98SE
Microsoft Windows 98
Microsoft Windows 2000 Server SP4
Microsoft Windows 2000 Server SP3
Microsoft Windows 2000 Server SP2
Microsoft Windows 2000 Server SP1
Microsoft Windows 2000 Server
+ Avaya DefinityOne Media Servers
+ Avaya IP600 Media Servers
+ Avaya S3400 Message Application Server
+ Avaya S8100 Media Servers
Microsoft Windows 2000 Professional SP4
Microsoft Windows 2000 Professional SP3
Microsoft Windows 2000 Professional SP2
Microsoft Windows 2000 Professional SP1
Microsoft Windows 2000 Professional
Microsoft Windows 2000 Datacenter Server SP4
Microsoft Windows 2000 Datacenter Server SP3
Microsoft Windows 2000 Datacenter Server SP2
Microsoft Windows 2000 Datacenter Server SP1
Microsoft Windows 2000 Datacenter Server
Microsoft Windows 2000 Advanced Server SP4
Microsoft Windows 2000 Advanced Server SP3
Microsoft Windows 2000 Advanced Server SP2
Microsoft Windows 2000 Advanced Server SP1
Microsoft Windows 2000 Advanced Server
IBM Lotus Notes 6.5.4
IBM Lotus Notes 6.5.3
IBM Lotus Notes 6.5.2
IBM Lotus Notes 6.5.1
IBM Lotus Notes 6.5
 

sumber : here