번호 | 제목 | 등록일 | |
---|---|---|---|
179 | [MSA2286198] Windows Shell 취약점으로 인한 원격 코드 실행 문제점 - 2010-07-19 | ||
2010-07-19 | |||
□ 설명 - 마이크로소프트 윈도우의 컴포넌트인 Windows Shell에서 단축 아이콘을 처리하는 과정의 부적절한 처리로 인해 원격 코드의 실행이 가능한 취약점이 존재함. - 공격자는 특수하게 조작된 단축 아이콘을 사용자가 클릭하도록 유도하여 원격 코드를 실행하는 것이 가능하며 USB와 같은 이동식 드라이브를 통해 공격하기 쉬움. - 현재 해당 취약점을 이용한 악성코드가 보고되고 있으며, 공식 보안 업데이트가 존재하지 않으므로 임시 대응방안을 참조하기 바람. □ 영향 - 원격 코드 실행 □ 관련 취약점 - CVE-2010-2568 □ 영향을 받는 소프트웨어 - Windows XP SP3 - Windows XP Professional x64 Edition SP2 - Windows Server 2003 SP2 - Windows Server 2003 x64 Edition SP2 - Windows Server 2003 with SP2 for Itanium-based Systems - Windows Vista SP1, SP2 - Windows Vista x64 Edition SP1, SP2 - Windows Server 2008 for 32-bit Systems, SP2 - Windows Server 2008 for x64-based Systems, SP2 - Windows Server 2008 for Itanium-based Systems, SP2 - Windows 7 for 32-bit Systems - Windows 7 for x64-based Systems - Windows Server 2008 R2 for x64-based Systems - Windows Server 2008 R2 for Itanium-based Systems □ 임시 대응방안 - 취약점 공격에 사용될 수 있는 레지스트리 키 값을 공백으로 변경하거나, WebClient 서비스를 정지함. 1. 레지스트리 편집기를 이용한 방법 - 시작-> 실행에 regedit를 입력하여 레지스트리 편집기를 실행함 - 레지스트리 편집기를 열어 다음의 레지스트리 키 경로로 이동 HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler - 레지스트리 편집기에서 파일->내보내기 선택 - 파일 이름을 LNK_Icon_Backup.reg로 지정하고 레지스트리 키 백업 - 해당 레지스트리 레지스트리 키 데이터 값을 제거하여 공백으로 설정 - 인터넷 익스플로러 또는 윈도우 재시작 2. WebClient 서비스를 정지하는 방법 - 시작-> 실행에 Services.msc 를 입력하여 서비스 관리 프로그램 실행 - WebClient 서비스를 선택하고 마우스 오른쪽 버튼을 눌러 속성 메뉴를 선택 - 일반 탭에서 WebClient 시작 유형을 "자동"에서 "사용안함"으로 변경 (서비스가 동작 중일 경우 "중지" 버튼 클릭으로 서비스 중지) - 서비스 관리 프로그램 종료 □ 참조사이트 - http://www.microsoft.com/technet/security/advisory/2286198.mspx http://hauri.co.kr/customer/security/alert_view.html?intSeq=56&page=1 http://www.kb.cert.org/vuls/id/940193 http://krebsonsecurity.com/2010/07/experts-warn-of-new-windows-shortcut-flaw/ |