-------- Original Message --------
Subject: [vaksin.com] RESIKO TINGGI !!! Microsoft GRE WMF (Graphic
Rendering Engine) Vulnerability 2 Januari 2005
Date: Mon, 2 Jan 2006 13:49:10 +0700
From: Vaksincom <[EMAIL PROTECTED]>
Reply-To: <[EMAIL PROTECTED]>
Organization: Vaksincom
To: <[EMAIL PROTECTED]>, <[EMAIL PROTECTED]>,
<[EMAIL PROTECTED]>, <[EMAIL PROTECTED]>,
<[EMAIL PROTECTED]>, <[EMAIL PROTECTED]>
*Microsoft GRE WMF (Graphic Rendering Engine) Vulnerability 2
Januari 2005*
Celah keamanan yang cakupannya segambreng
Bayangkan anda berada di suatu kota yang tidak dikenal dan sedang
tererang wabah Zombie, dimana setiap orang yang berinteraksi dengan
Zombie akan langsung mati dan tubuhnya diambil alih oleh kuman yang
kemudian mengendalikan tubuh tersebut menjadi mayat hidup dan mencari
tubuh lain untuk diinfeksinya. Kalau hal ini hanya terjadi pada film
Resident Evil yang dibintangi oleh Milla Jovovich, maka ada kabar buruk
yang perlu kami sampaikan kepada anda. Wabah yang menyerupai kuman
Zombie tersebut sedang beredar di internet dan dalam waktu beberapa hari
ke depan mayoritas komputer di deluruh dunia ini terancam oleh infeksi
virus baru karena munculnya satu celah keamanan baru yang sangat
merisaukan para pengamat sekuriti karena luasnya cakupan OS yang
diserang (hampir semua OS Windows dapat dengan mudah diambil alih
program yang memanfaatkan celah keamanan ini). Celakanya sampai saat ini
tambalan (patch) untuk menutupi celah keamanan masih belum tersedia dan
harus menunggu sampai tanggal 9 Januari 2006.
*Apa itu GRE WMF Vulnerability*
WMF adalah kepanjangan dari Windows Meta File, WMF merupakan format file
16 bit yang mengandung informasi vector dan bitmap yang digunakan pada
OS Windows dan digunakan oleh OS Windows untuk menampilkan gambar dan
fax. Masalahnya adalah ada celah keamanan pada GRE (Graphic Rendering
Engine) yang jika dieksploitasi dengan kode tertentu akan mengakibatkan
pengambil alihan komputer korban secara total. Celakanya WMF digunakan
pada semua versi Windows dan digunakan sebagai viewer file gambar dan
fax sehingga cakupan komputer yang dapat diserang sangat luas. Khusus
untuk pengguna komputer Indonesia dimana kalau pada serangan virus
sebelumnya OS "kuno" seperti Windows 98 dan Windows ME yang masih tinggi
pupolasinya relatif aman dari serangan virus karena sudah "tidak
diperhatikan" oleh pembuat virus maka Vaksincom menyarankan para
pengguna OS ini khususnya Warnet, Sekolah, Institusi bisnis ataupun
perorangan untuk berhati-hati dan melakukan tindakan pencegahan yang
tepat kalau tidak mau komputernya menjadi korban serangan virus WMF yang
diperkirakan akan mengganas dalam waktu beberapa hari ini.
*Mengapa GRE WMF berbahaya*
Celah kemanan GRE WMF berbahaya karena :
1.
Pembuat malware hanya perlu menuntun korbannya ke link / alamat
internet yang mengandung file yang direkayasa. Jadi tinggal
mengirimkan link melalui email, browser atau messenger sudah cukup
untuk mengaktifkan eksploitasi ini.
2.
Metode untuk eksploitasi celah keamanan melalui email juga sangat
mudah dan file yang digunakan sebagai sarana eksploitasi adalah
file gambar yang selama ini dianggap aman dan umumnya diloloskan
oleh mailserver. EG file jpg, gif, tiff dan bmp.
3.
Memblok file dengan ekstensi WMF seperti yang biasa dilakukan
sebagai "jurus pamungkas" administrator mailserver dalam
melindungi email dari virus TIDAK MEMPAN karena lampiran yang
datang bisa menggunakan ekstensi gambar yang lain seperti jpg, gif
atau bmp dan jika dijalankan, Windows akan tetap menggunakan GRE
WMF untuk menjalankan file tersebut.
4.
Mencakup OS windows yang sangat luas (segambreng :P), baik dari
Windows 98 / ME / NT/ 2000 / XP sampai 2003 baik server mapun
workstation.
5.
Tidak ada tambalan / patch resmi yang dikeluarkan oleh Microsoft
(sampai dengan tanggal 9 Januari 2006) sehingga secara teknis
semua komputer terancam atas eksploitasi ini, kalaupun ada hanya
solusi sementara menonaktifkan Windows Picture dan Fax viewer
(Shimgvw.dll) atau menggunakan tambalan celah keamanan yang dibuat
oleh Ilfak Guilfanov (pihak ketiga).
6.
Kode eksploitasi atas celah keamanan ini sudah banyak sekali
beredar di dunia underground, menurut pantauan Vaksincom sudah ada
50 lebih kode eksploitasi yang beredar dan dapat dipastikan
munculnya virus baru yang berbahaya dan sukses memanfaatkan celah
keamanan ini tinggal menunggu hari.
7.
Eksploitasi dapat dilakukan dengan berbagai media, baik melalui
email, website, chatting atau sarana lain yang memungkinkan
pengiriman link http.
8.
Meskipun pengguna Internet Explorer (dengan setting security
standar) secara otomatis akan tereksploitasi, pengguna browser
lain seperti Firefox juga tidak lolos dari ancaman ini, karena
yang membedakan hanyalah Firefox akan menampilkan konfirmasi
apakah mau menjalankan file .wmf yang selama ini dianggap aman dan
ada "hobi" mengklik tombol [OK] dikalangan pengguna komputer awam.
*Ancaman saat ini*
Sampai dengan saat informasi ini dibuat, Vaksincom sudah mendeteksi
beberapa virus yang mulai mengeksploitasi celah keamanan ini dan
digolongkan sebagai ancaman tingkat tinggi seperti /Exploit-WMF trojan,
Exploit.Win32.IMG-WMF.a, Troj/DownLdr-QB/. Sampai saat ini, para vendor
antivirus sangat aktif memonitor perkembangan terakhir dan Vaksincom
menyarankan para pengguna internet untuk aktif mengupdate program
antivirusnya dengan definisi terakhir. Norman Virus Control sudah dapat
mendeteksi Exploit-WMF Trojan yang disebarkan melalui email dengan
lampiran Happynewyear.jpg yang jika di jalankan akan menuntun komputer
penerima ke satu alamat website untuk mendownload trojan lain.
"Untungnya" website yang mengandung trojan tersebut berhasil
diidentifikasi dan dilumpuhkan, namun belajar dari pengalaman masa lalu,
pembuat virus tinggal meluncurkan varian baru dan terkadang website yang
"ditanami" virus ini jumlahnya ratusan sehingga merupakan hal yang
sangat sulit dan memakan waktu banyak melumpuhkan website-website ini.
Belum lagi kalau pembuat virusnya menjadikan semua komputer korbannya
sebagai host file exploit sehingga hampir mustahil untuk memblok semua
host file exploit secara manual. Hal terbaik yang dapat dilakukan adalah
dengan menutup celah keamanan dan menggunakan program antivirus dengan
definisi terbaru sehingga dapat mendeteksi virus ini.
Pada saat ini, virus-virus baru yang memanfaatkan celah keamanan ini
berlomba bermunculan dan sang waktu yang menentukan virus mana yang
berhasil mengeksploitasi celah keamanan dengan sukses.
*Bagaimana mengatasi hal ini ?*
Ada dua cara untuk selamat dari ancaman eksploitasi celah keamanan ini :
1.
Unregister Windows Picture and Fax viewer
*
Klik [Start] [Run] ketik [regsvr32 -u
%windir%\system32\shimgvw.dll] dan klik [Ok]
*
Anda akan mendapatkan kotak dialog yang mengkonfirmasikan
bahwa proses ini sudah berhasil. Klik [Ok] untuk menutup dialog.
Dampak dari hal ini adalah Windows Picture and Fax Viewer tidak
akan dijalankan secara otomatis ketika anda mengklik gambar yang
diasosiasikan dengannya.
Untuk mengembalikan kembali settingan ini (jika patch / tambalan
atas celah keamanan ini sudah tersedia) :
*
Klik [Start] [Run] ketik [regsvr32
%windir%\system32\shimgvw.dll] dan klik [Ok]
*
Anda akan mendapatkan kotak dialog yang mengkonfirmasikan
bahwa proses ini sudah berhasil. Klik [Ok] untuk menutup dialog.
2.
Gunakan tambalan celah keamanan yang dibuat oleh Ilfak Guilfanov
Ilfak Guilfanov adalah pakar "reverse engineering" yang juga
pembuat IDA Disassembler. Silahkan download dari
http://www.hexblog.com/security/files/wmffix_hexblog13.exe
*OS yang terancam celah keamanan ini*
Microsoft Windows XP Tablet PC Edition SP2
Microsoft Windows XP Tablet PC Edition SP1
Microsoft Windows XP Tablet PC Edition
Microsoft Windows XP Professional x64 Edition
Microsoft Windows XP Professional SP2
Microsoft Windows XP Professional SP1
Microsoft Windows XP Professional
Microsoft Windows XP Media Center Edition SP2
Microsoft Windows XP Media Center Edition SP1
Microsoft Windows XP Media Center Edition
Microsoft Windows XP Home SP2
Microsoft Windows XP Home SP1
Microsoft Windows XP Home
Microsoft Windows Server 2003 Web Edition SP1
Microsoft Windows Server 2003 Web Edition
Microsoft Windows Server 2003 Standard x64 Edition
Microsoft Windows Server 2003 Standard Edition SP1
Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Server 2003 Enterprise x64 Edition
Microsoft Windows Server 2003 Enterprise Edition 64-bit SP1
Microsoft Windows Server 2003 Enterprise Edition 64-bit
Microsoft Windows Server 2003 Enterprise Edition SP1
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Datacenter x64 Edition
Microsoft Windows Server 2003 Datacenter Edition 64-bit SP1
Microsoft Windows Server 2003 Datacenter Edition 64-bit
Microsoft Windows Server 2003 Datacenter Edition SP1
Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows ME
Microsoft Windows 98SE
Microsoft Windows 98
Microsoft Windows 2000 Server SP4
Microsoft Windows 2000 Server SP3
Microsoft Windows 2000 Server SP2
Microsoft Windows 2000 Server SP1
Microsoft Windows 2000 Server
+ Avaya DefinityOne Media Servers
+ Avaya IP600 Media Servers
+ Avaya S3400 Message Application Server
+ Avaya S8100 Media Servers
Microsoft Windows 2000 Professional SP4
Microsoft Windows 2000 Professional SP3
Microsoft Windows 2000 Professional SP2
Microsoft Windows 2000 Professional SP1
Microsoft Windows 2000 Professional
Microsoft Windows 2000 Datacenter Server SP4
Microsoft Windows 2000 Datacenter Server SP3
Microsoft Windows 2000 Datacenter Server SP2
Microsoft Windows 2000 Datacenter Server SP1
Microsoft Windows 2000 Datacenter Server
Microsoft Windows 2000 Advanced Server SP4
Microsoft Windows 2000 Advanced Server SP3
Microsoft Windows 2000 Advanced Server SP2
Microsoft Windows 2000 Advanced Server SP1
Microsoft Windows 2000 Advanced Server
IBM Lotus Notes 6.5.4
IBM Lotus Notes 6.5.3
IBM Lotus Notes 6.5.2
IBM Lotus Notes 6.5.1
IBM Lotus Notes 6.5
Selamat Tahun Baru 2006 (AAT)
salam,
Vaksincom
Tanah Abang III / 19E
Jakarta 10160 - Indonesia
http://www.vaksin.com <http://www.vaksin.com/>
[EMAIL PROTECTED] <mailto:[EMAIL PROTECTED]>
--
------------------------------------------------------------------------
http://aboen.atekbl.com - BSD051246
Cintailah saudaramu secara proporsional,
mungkin suatu masa ia akan menjadi orang yang kau benci.
Bencilah orang yang kau benci secara proporsional,
mungkin suatu masa ia akan menjadi kekasih yang kau cintai.
------------------------------------------------------------------------
------------------------ Yahoo! Groups Sponsor --------------------~-->
Educate a girl. Change her future. Give her hope.
http://us.click.yahoo.com/EQN7IB/UREMAA/HwKMAA/1MXolB/TM
--------------------------------------------------------------------~->
Hapus Line di bawah ini sebelum me-Reply
-----------------------------------------
http://atekbl.com
-----------------------------------------
Yahoo! Groups Links
<*> To visit your group on the web, go to:
http://groups.yahoo.com/group/atekbl/
<*> To unsubscribe from this group, send an email to:
[EMAIL PROTECTED]
<*> Your use of Yahoo! Groups is subject to:
http://docs.yahoo.com/info/terms/
