화살표
보안패치보안관련 정보를 수집하여 고객님께 알려드리고 있습니다.
번호 제목 등록일
179 [MSA2286198] Windows Shell 취약점으로 인한 원격 코드 실행 문제점 - 2010-07-19
2010-07-19
□ 설명
- 마이크로소프트 윈도우의 컴포넌트인 Windows Shell에서 단축 아이콘을 처리하는 과정의 부적절한 처리로 인해 원격 코드의 실행이 가능한 취약점이 존재함.
- 공격자는 특수하게 조작된 단축 아이콘을 사용자가 클릭하도록 유도하여 원격 코드를 실행하는 것이 가능하며 USB와 같은 이동식 드라이브를 통해 공격하기 쉬움.
- 현재 해당 취약점을 이용한 악성코드가 보고되고 있으며, 공식 보안 업데이트가 존재하지 않으므로 임시 대응방안을 참조하기 바람.

□ 영향
- 원격 코드 실행

□ 관련 취약점
- CVE-2010-2568

□ 영향을 받는 소프트웨어
- Windows XP SP3
- Windows XP Professional x64 Edition SP2
- Windows Server 2003 SP2
- Windows Server 2003 x64 Edition SP2
- Windows Server 2003 with SP2 for Itanium-based Systems
- Windows Vista SP1, SP2
- Windows Vista x64 Edition SP1, SP2
- Windows Server 2008 for 32-bit Systems, SP2
- Windows Server 2008 for x64-based Systems, SP2
- Windows Server 2008 for Itanium-based Systems, SP2
- Windows 7 for 32-bit Systems
- Windows 7 for x64-based Systems
- Windows Server 2008 R2 for x64-based Systems
- Windows Server 2008 R2 for Itanium-based Systems

□ 임시 대응방안
- 취약점 공격에 사용될 수 있는 레지스트리 키 값을 공백으로 변경하거나, WebClient 서비스를 정지함.

1. 레지스트리 편집기를 이용한 방법
- 시작-> 실행에 regedit를 입력하여 레지스트리 편집기를 실행함
- 레지스트리 편집기를 열어 다음의 레지스트리 키 경로로 이동
HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler
- 레지스트리 편집기에서 파일->내보내기 선택
- 파일 이름을 LNK_Icon_Backup.reg로 지정하고 레지스트리 키 백업
- 해당 레지스트리 레지스트리 키 데이터 값을 제거하여 공백으로 설정
- 인터넷 익스플로러 또는 윈도우 재시작

2. WebClient 서비스를 정지하는 방법
- 시작-> 실행에 Services.msc 를 입력하여 서비스 관리 프로그램 실행
- WebClient 서비스를 선택하고 마우스 오른쪽 버튼을 눌러 속성 메뉴를 선택
- 일반 탭에서 WebClient 시작 유형을 "자동"에서 "사용안함"으로 변경
(서비스가 동작 중일 경우 "중지" 버튼 클릭으로 서비스 중지)
- 서비스 관리 프로그램 종료

□ 참조사이트
- http://www.microsoft.com/technet/security/advisory/2286198.mspx
http://hauri.co.kr/customer/security/alert_view.html?intSeq=56&page=1
http://www.kb.cert.org/vuls/id/940193
http://krebsonsecurity.com/2010/07/experts-warn-of-new-windows-shortcut-flaw/