Microsoft Windows Thumbnail Bitmap Parsing Buffer Overflow

Risk: Yüksek
Etkilenenler:  

 Microsoft Windows Server 2003 Datacenter Edition
 Microsoft Windows Server 2003 Enterprise Edition
 Microsoft Windows Server 2003 Standard Edition
 Microsoft Windows Server 2003 Web Edition
 Microsoft Windows Server 2008
 Microsoft Windows Storage Server 2003
 Microsoft Windows Vista
 Microsoft Windows XP Home Edition
 Microsoft Windows XP Professional

Microsoft tarafından da doğrulanan güvenlik açığı, belirtilen işletim sistemlerinde Hackerlerın zararlı kodları kullanıcılara işletebilmesine ve sisteme zarar vermesine neden oluyor.

Güvenlik açığı Windows’un default resim işleme parametresi bitmap’lerin thumbnail ayrıştırmasında çalışan shimgvw.dll içerisinde ki “CreateSizedDIBSECTION ()” fonksiyonunda hatadan kaynaklanıyor. Bu hatayı fark eden kötü niyetli kişiler (hackerler) BMP formatında negatif değerli bir kod göndererek işletim sisteminin tambon bellek taşması yaşamasına sebep olabiliyorlar.

Peki Kötü Niyetli Kişiler (Hackerler) bu açığı nasıl kullanabilirler?

# Bir Office belgesinin içine yerleştirdikleri BMP formatındaki resimin içerisinde ekledikleri kod ile ve Sizinde o Office belgesini açmanız dahilinde,
# Bir Web sitesine yerleştirmeleri dahilinde,
# Bir E-Posta ile size göndermeleri dahilinde.

Evet, Peki Çözüm Nedir?

Shimgvw.dll ‘nin gecici olarak kapatılması, erişiminin kısıtlanması gerekmektedir.

Shimgvw.dll Nedir?

C:\WINDOWS\system32 ‘nin içerisinde barınan bir Windows bileşenidir. Resim işlemek, Fax ve Görüntü elde etmek için Windows tarafından kullanılır. Shimgvw.dll olmadığı zaman (hasarlandığında yada bozulduğunda) BMP Formatlı resimler genellikle açılmaz yada hata verir.

Metasploit:
http://www.metasploit.com/redmine/projects/framework/repository/revisions/11466/entry/modules/exploits/windows/fileformat/ms11_xxx_createsizeddibsection.rb