본문 바로가기

security/해킹 보안

Windows Shell 취약점으로 인한 원격코드 실행 문제점

■ 개 요

MS社는 7월 17일 윈도우 구성 요소인 Windows Shell에서 원격코드 실행이 가능한 취약점(7.19 기준 보안패치 未발표)을 발표함에 따라 각급기관 담당자는 해당 취약점을 악용한 해킹에 대비, 이메일 첨부파일 등으로 유입되는 바로가기 파일(.lnk)을 필터링하는 등 각별히 유의하여 주시기 바랍니다.

특히, 해당 취약점을 이용한 USB 악성코드가 확산되고 있음에 따라 아래의 '임시 대응책'을 조속히 수행할 것을 권고합니다.



■ 취약점 내용


o 설 명
MS 윈도우 Windows Shell에서 바로가기 파일(.lnk)을 처리하는 과정에 취약점이 존재하여 공격자는 특수하게 조작된 바로가기 파일을 이메일, 홈페이지 등을 통해 유포, 사용자가 열람토록 유도하여 원격코드 실행이 가능하다.
  * Windows Shell : Windows Desktop으로도 알려져 있으며 MS 윈도우에서 사용자 인터페이스를 위한 기본 프레임워크를 제공

o 영향받는 소프트웨어
  - Windows 7 for 32-bit Systems
  - Windows 7 for x64-based Systems
  - Windows Server 2003 SP2
  - Windows Server 2003 with SP2 for Itanium-based Systems
  - Windows Server 2003 x64 Edition SP2
  - Windows Server 2008 for 32-bit Systems, SP2
  - Windows Server 2008 for Itanium-based Systems, SP2
  - Windows Server 2008 for x64-based Systems, SP2
  - Windows Server 2008 R2 for Itanium-based Systems
  - Windows Server 2008 R2 for x64-based Systems
  - Windows Vista SP1 and Windows Vista SP2
  - Windows Vista x64 Edition SP1, SP2
  - Windows XP Professional x64 Edition SP2
  - Windows XP SP3

■ 임시 대응 방법

o 현재 해당 취약점을 악용한 악성코드(Win32.Worm.Stuxnet.A 등 USB 바이러스)가 유포되고 있음에 따라 아래의 내용을 준수하여 공격시 피해를 최소화 하시기 바랍니다.(임시대응책은 해당 취약점에 대한 모든 공격을 차단할 수 없음)

  1. 이메일 첨부 등으로 유입되는 바로가기 파일(.lnk)을 이메일 시스템에서 필터링 및 차단 조치

  2. MS社 제공 임시 보안대책 적용
    -  바로가기 파일 아이콘 출력 기능 중지(IconHandler 관련 레지스트리 삭제) 및 WebClient 서비스 중지의 두가지 임시 대응책 동시에 적용
      * WebClient 서비스 : HTTP의 확장 프로토콜인 WebDAV를 이용하여 웹서버의 파일을 접근, 수정할 수 있는 기능 제공
      → http://www.microsoft.com/technet/security/advisory/2286198.mspx 

      적용시, 바탕화면 등 PC에 있는 모든 바로가기 파일의 이미지가 표시되지 않으며 WebClient 관련 기능(웹서버 파일 접근)을 사용할 수 없는 등 불편함 발생이 불가피함

  3. USB 바이러스 감염을 사전 차단하기 위해 'USBGuard' 프로그램 운영철저(보안권고문 209번 참고)

  4. 백신 소프트웨어를 최신버전으로 유지하고 실시간 감시기능 사용

  5. 의심스러운 사이트 방문을 자제하고 출처가 불분명한 이메일 열람 금지 등