본문 바로가기

벌새::Security

Microsoft 제로데이 취약점 : Microsoft Security Advisory (2269637) - Insecure Library Loading Could Allow Remote Code Execution

마이크로소프트(Microsoft)사의 Windows에서 동작하는 정상적인 응용 프로그램 중 취약한 일부 소프트웨어가 악성 DLL(Dynamic-Link Library) 파일을 로딩하는 문제를 일으키는 제로데이(0-Day) 취약점이 발표되었습니다.
 

해당 취약점은 기존의 Microsoft Windows 취약점과는 달리 특정 OS 버전의 문제가 아니라 응용 프로그램의 문제로 해외에서는 DLL Hijacking 취약점으로 소개되고 있습니다.

현재 알려진 공격 방식은 공격자가 사용자를 속여서 제시하는 악의적인 문서, 비디오 파일 등을 열람하기 위해 취약한 정상적인 응용 프로그램을 실행하여 해당 악성 파일을 실행할 경우 정상적인 DLL 파일 대신 악성 DLL 파일을 로딩하도록 응용 프로그램이 변경하여 시스템을 감염시키도록 유도하고 방식으로 보입니다.

현재까지 알려진 해당 취약점이 동작 가능한 소프트웨어는 Firefox, uTorrent, Microsoft PowerPoint, Wireshark packet sniffer, Windows Live Mail, Microsoft MovieMaker 등 200여개의 정상적인 프로그램입니다.

Microsoft사에서는 다음과 같은 방식으로 해당 취약점에 대해 임시 해결 방법을 제시하고 있습니다.

  1. WebDAV와 원격 네트워크 공유로부터 라이브러리 로딩 비활성화
  2. WebClient 서비스 비활성화
  3. 방화벽을 이용한 TCP 139, 445 포트 차단

해당 임시 해결 방법은 정상적인 컴퓨터 사용에 문제를 유발할 수 있다는 점도 명심하시기 바라며, 근본적으로 인터넷 상에서 수상한 파일을 다운로드하여 실행하는 행위 또는 특정 사이트에서 다운로드를 유도하는 파일을 실행하지 않도록 조심하시기 바랍니다.

현재 해당 취약점에 대한 일부 응용 프로그램에서의 구현이 성공적으로 이루어지고 있다는 동영상이 공개되고 있으므로 조만간 악성코드로 제작되어 유포가 발생할 것으로 추정되므로, 신뢰할 수 있는 보안 제품을 이용하여 시스템을 보호하시기 바랍니다.