본문 바로가기

벌새::Security

Windows 제로데이 취약점 : Microsoft Security Advisory (2286198) - Vulnerability in Windows Shell Could Allow Remote Code Execution

마이크로소프트(Microsoft) Windows에서 악의적으로 제작된 바로가기(단축 아이콘, Shortcut) 아이콘을 사용자가 실행하였을 경우 부적절한 처리를 유발하여 Windows Shell에서 원격 코드를 실행하는 제로데이(0-Day) 보안 취약점이 발견되었다는 소식입니다.
 

주로 공격 대상은 현재 USB와 같은 이동식 저장 매체를 통해 유포가 이루어지고 있으며, Windows 7 버전에서 기본값으로 AutoPlay(자동 실행)를 중지한 경우에도 사용자가 수동으로 윈도우 탐색기 등의 프로그램을 이용할 경우 시스템 감염을 유발할 수 있습니다.

 

[영향을 받는 소프트웨어]

Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 with SP2 for Itanium-based Systems
Windows Vista Service Pack 1, Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 1, Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for 32-bit Systems, Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for x64-based Systems, Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for Itanium-based Systems, Windows Server 2008 for Itanium-based Systems Service Pack 2
Windows 7 for 32-bit Systems
Windows 7 for x64-based Systems
Windows Server 2008 R2 for x64-based Systems
Windows Server 2008 R2 for Itanium-based Systems


현재 해당 취약점에 대한 보안 패치가 공개되지 않은 상태에서 이미 해외에서 다수의 악성코드(진단명에 Stuxnet 포함)가 발견되고 있으므로 매우 주의가 요구됩니다.

이에 마이크로소프트사에서는 임시 해결책으로 2가지 방법을 제공하고 있으므로, 사용자는 반드시 해당 방법으로 보안 패치가 공개될 때까지 시스템을 보호하시기 바랍니다.(참고로 임시 해결책을 적용할 경우 일부 기능에 문제가 발생할 수 있습니다. 하지만 시스템 보호를 위해서는 적용하시기 바랍니다.)

1. 레지스트리 편집기(regedit)를 이용한 임시 해결 방법

HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler
 - (기본값) = {00021401-0000-0000-C000-000000000046}


레지스트리 편집기에서 IconHandler 관련 레지스트리 항목을 찾아서 해당 설정 항목을 마우스 우클릭을 통해 [내보내기] 기능을 이용하여 백업을 시도합니다.

레지스트리 파일 내보내기 창에서는 [LNK_Icon_Backup.reg] 파일명(사용자가 임의로 설정 가능)으로 저장을 하시면 됩니다.

HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler
 - (기본값) =


백업이 완료되면 해당 IconHandler 문자열 편집을 통해 기본값으로 설정된 {00021401-0000-0000-C000-000000000046} 데이터 값을 삭제하시기 바랍니다.

최종적으로 그림과 같이 IconHandler 값이 변경이 이루어졌으면 반드시 시스템 재부팅을 통해 해당 설정을 적용하시면 됩니다.

 

참고로 레지스트리 변경을 통해 해당 임시 해결책을 적용한 경우에는 사용자 컴퓨터에 존재하는 바로가기 아이콘이 그림과 같이 변경되는 것을 확인할 수 있습니다.

이는 시스템이 바로가기 아이콘을 불러오지 않도록 하여 악의적으로 조작된 파일이 적용되지 않도록 예방하는 것으로 보입니다.

차후에 마이크로소프트사에서 공식적으로 해당 보안 취약점을 해결한 보안 패치를 제공할 경우에는 반드시 백업한 LNK_Icon_Backup.reg 파일을 실행하여 삭제된 정보를 재등록하시고 보안 패치를 적용하시기 바랍니다.

2. WebClient 서비스 항목을 이용한 임시 해결 방법

[시작 - 실행 - services.msc] 명령어를 이용하여 서비스 항목을 실행합니다.

서비스 항목 중 [WebClient] 항목의 속성을 실행하여 기본값으로 설정된 시작 유형을 [자동]에서 [사용 안 함]으로 변경을 합니다.

해당 방법 역시 차후 보안 패치가 공개되는 시점에서 반드시 시작 유형을 기본값(자동)으로 변경을 하시고 보안 패치를 적용하시기 바랍니다.


해당 임시 해결책 적용으로 인해 정상적인 Windows 일부 기능을 사용할 수 없지만, 현재 해당 취약점을 이용한 다양한 악성코드가 발견되고 있으므로 반드시 임시 해결책을 이용해 시스템을 보호하시기 바랍니다.
  • 안녕하세요 ? 벌새님 , 잘지내고 계시죠 ? 너무 오랜만에 글을 남기는 듯 ^ ^; 사실 요즘 글 쓸 시간도 줄어든데다가 , 얼마 전에 다음 뷰 때문에 하도 스트레스 받다 보니 블로깅 의욕도 좀 떨어져서 인터넷 활동을 점점 등한시하게된 과정 중에 있었던지라 .....그런데요 . http://k.daum.net/qna/view.html?qid=4Bvzq&l_cid=QC&l_st=1&returl=%2Fqna%2Fquestion%2Flist.html%3Fmin%3D20100720141330%26max%3D20100721011218%26status%3D3%26category_id%3DQC%26mode%3D0%26cp%3D30%26page%3D5%26 에궁 링크 길다 ...이게 이 악성코드로 인한 증상일까요 ? 여기 저기 봐도 증상에 대한 구체적인 예는 없어서 .....요즘 너무 더운데 건강하시고요 ^ ^*

    • 안녕하세요.^^

      요즘 날씨가 너무 더워진 것 같습니다. 건강 조심하세요.

      내용을 보면 IE가 외부적인 영향으로 깨졌거나 감염된 것이 아닌가 생각됩니다.

      저런 현상은 경험하지 않아서 자세히는 모르겠습니다.ㅠㅠ