본문 바로가기

벌새::Security

Windows 제로데이(0-Day) 취약점 : Microsoft Security Advisory (2219475) - Vulnerability in Windows Help and Support Center Could Allow Remote Code Execution

마이크로소프트(Microsoft)사의 Windows XP, Windows Server 2003 버전에서 Windows 도움말(Windows Help)과 지원 센터(Support Center) 기능 관련 제로데이(0-Day) 보안 취약점이 새롭게 발견되었다는 소식입니다.

해당 취약점은 사용자가 특정 악의적인 웹 사이트에 방문하거나 특정 악성 이메일 링크를 클릭할 경우 원격 코드가 실행될 수 있습니다.

[영향을 받는 소프트웨어]

Windows XP Service Pack 2 and Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 with SP2 for Itanium-based Systems
[영향을 받지 않는 소프트웨어]

Microsoft Windows 2000 Service Pack 4
Windows Vista Service Pack 1, Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 1, Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for 32-bit Systems, Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for x64-based Systems, Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for Itanium-based Systems, Windows Server 2008 for Itanium-based Systems Service Pack 2
Windows 7 for 32-bit Systems
Windows 7 for x64-based Systems
Windows Server 2008 R2 for x64-based Systems
Windows Server 2008 R2 for Itanium-based Systems

현재 PoC(Proof of Concept)가 공개된 상태이므로 조만간 해당 취약점을 이용한 악성코드 유포가 예상되므로 차후 보안 패치가 제공될 때까지 해당 OS 버전을 사용하시는 분들은 매우 조심하셔야 합니다.

Microsoft사에서는 해당 취약점에 대한 임시 해결 방법으로 다음과 같은 절차에 따라 HCP 프로토콜 레지스트리를 등록 해제한 후 보안 패치가 공개된 시점에서 복원하도록 안내를 하고 있습니다.

1. 레지스트리 편집기(regedit) 실행

2. HKEY_CLASSES_ROOT\HCP 항목 접근

3. HKEY_CLASSES_ROOT\HCP 항목 백업 및 삭제하기

[HKEY_CLASSES_ROOT\HCP] 항목을 마우스로 선택한 후, 마우스 우클릭을 통해 생성된 하위 메뉴 중 [내보내기] 항목을 실행합니다.

[레지스트리 파일 내보내기] 창을 통해 내보내기 범위는 선택한 분기 [HKEY_CLASSES_ROOT\HCP]를 확인하시고, 사용자 임의대로 파일 이름을 지정하여 reg 파일로 저장을 하시면 됩니다.

사용자는 저장된 reg 파일을 저장한 후 HKEY_CLASSES_ROOT\HCP 레지스트리 항목을 삭제하시면 됩니다.

4. 보안 패치 공개된 시점에서 HKEY_CLASSES_ROOT\HCP 복원하기

차후 해당 취약점에 대한 보안 패치가 공개되었을 경우, 보안 패치를 적용하기 이전에 HKEY_CLASSES_ROOT\HCP 레지스트리 복원 파일(reg 파일)을 더블 클릭하여 재등록을 하시면 됩니다.

인터넷을 이용하시면서 제로데이 취약점이 공개된 상태에서는 국내외 유명 사이트일지라도 외부의 공격으로 사이트가 변조되어 악성코드를 유포할 수 있으므로 반드시 신뢰할 수 있는 보안 제품을 통해 실시간으로 시스템을 보호하시기 바랍니다.