울지않는벌새 : Security, Movie & Society

eSafe 보안 제품의 CVE-2010-2568 제로데이 취약점에 대한 과잉 진단으로 인한 오진 문제

벌새::Security
최근 마이크로소프트(Microsoft)사의 모든 Windows 버전에서 Windows Shell의 보안 취약점을 악용한 다양한 악성코드가 발견되고 있습니다.

이들 악성코드는 바로가기(.lnk) 아이콘을 이용한다는 특징이 있으며 이로 인하여 일반적으로 악의적인 바로가기 파일에 대하여 보안 제품에서는 다음과 같은 진단을 하고 있습니다.

그 중에서 해외 보안 제품 eSafe의 경우 LNK-Exp.CVE-2010-2568.gen 진단명을 이용하여 Generic 진단을 하고 있으며, 악성 파일에 대해 잘 진단하고 있는 것을 확인할 수 있습니다.

하지만 정상적인 바로가기 파일을 검사할 경우에도 그림과 같이 유독 eSafe 보안 제품은 계속적으로 LNK-Exp.CVE-2010-2568.gen 진단명으로 악성코드로 진단하는 오진을 발생하고 있습니다.

이는 추가적인 확인 과정에서 살펴보면 모든 Ink 확장자(정상적인 바로가기 포멧인 경우)를 가진 파일에 대해서는 CVE-2010-2568 취약점을 가진 잠재적인 악성 파일로 분류하고 있다고 볼 수 있습니다.

아마 해당 제품을 사용하는 사용자들이라면 전혀 해당 진단명이 시스템을 보호하는 예방책이 될 수 없으리라 생각됩니다.