본문 바로가기

벌새::Security

Microsoft Windows Graphics Rendering Engine 제로데이 취약점 : CVE-2010-3970 (2011.1.5)

마이크로소프트(Microsoft) 윈도우 그래픽 렌더링 엔진(Windows Graphics Rendering Engine)에서 제로데이(0-Day) 보안 취약점을 이용한 원격 코드 실행이 가능한 문제가 공개되었습니다.

윈도우 그래픽 렌더링 엔진(Windows Graphics Rendering Engine)의 취약점을 이용하여 공격자는 로그인한 사용자에게 임의의 코드를 실행하여 새로운 계정 생성, 데이타 보기, 변경, 삭제가 가능합니다. 그러므로 영향을 받는 OS 관리자 권한으로 로그인한 사용자의 경우 공격자는 모든 권한을 취득하게 됩니다.

해당 취약점(CVE-2010-3970)은 악의적으로 조작된 썸네일(Thumbnail) 이미지가 포함된 Microsoft Word, PowerPoint 첨부 파일을 이메일을 통해 유포하여 사용자가 보도록 유도하는 방식으로 공격이 이루어질 것으로 보이므로 신뢰할 수 없는 이메일을 함부로 열어보지 않도록 주의하시기 바랍니다.


[영향을 받는 소프트웨어]

Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 with SP2 for Itanium-based Systems
Windows Vista Service Pack 1, Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 1, Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for 32-bit Systems, Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for x64-based Systems, Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for Itanium-based Systems, Windows Server 2008 for Itanium-based Systems Service Pack 2

[영향을 받지 않는 소프트웨어]

Windows 7 for 32-bit Systems
Windows 7 for x64-based Systems
Windows Server 2008 R2 for x64-based Systems
Windows Server 2008 R2 for Itanium-based Systems


해당 취약점은 Windows 7, Windows Server 2008 R2 버전에서는 영향을 받지 않으므로 참고하시기 바랍니다.

이번 취약점을 이용하여 실제적인 악성코드 유포 행위는 현재 알려진 것이 없지만, 해당 보안 패치가 공개될 때까지 임시적으로 문제를 해결하기 위해서는 CMD 모드에서 다음의 명령어를 입력하시기 바랍니다.

참고로 해당 방법은 shimgvw.dll 파일의 Access Control List(ACL) 수정을 하는 것으로 이로 인하여 일부 미디어 파일이 제대로 구현되지 않는 문제가 발생할 수 있습니다.

● Windows XP, Windows Server 2003 (32비트)
Echo y| cacls %WINDIR%\SYSTEM32\shimgvw.dll /E /P everyone:N


● Windows XP, Windows Server 2003 (64비트)
Echo y| cacls %WINDIR%\SYSTEM32\shimgvw.dll /E /P everyone:N
Echo y| cacls %WINDIR%\SYSWOW64\shimgvw.dll /E /P everyone:N


● Windows Vista, Windows Server 2008 (32비트)
takeown /f %WINDIR%\SYSTEM32\SHIMGVW.DLL
icacls %WINDIR%\SYSTEM32\SHIMGVW.DLL /save %TEMP%\SHIMGVW_ACL.TXT
icacls %WINDIR%\SYSTEM32\SHIMGVW.DLL /deny everyone:(F)


● Windows Vista, Windows Server 2008 (64비트)
takeown /f %WINDIR%\SYSTEM32\SHIMGVW.DLL
takeown /f %WINDIR%\SYSWOW64\SHIMGVW.DLL
icacls %WINDIR%\SYSTEM32\SHIMGVW.DLL /save %TEMP%\SHIMGVW_ACL32.TXT
icacls %WINDIR%\SYSWOW64\SHIMGVW.DLL /save %TEMP%\SHIMGVW_ACL64.TXT
icacls %WINDIR%\SYSTEM32\SHIMGVW.DLL /deny everyone:(F)
icacls %WINDIR%\SYSWOW64\SHIMGVW.DLL /deny everyone:(F)

해당 취약점에 대한 보안 패치가 공식적으로 제공되는 시점에서 적용한 임시 해결 방법을 다음의 명령어를 이용하여 복구하시고 보안 패치를 적용하시기 바랍니다.

● Windows XP, Windows Server 2003 (32비트)
cacls %WINDIR%\SYSTEM32\shimgvw.dll /E /R everyone


● Windows XP, Windows Server 2003 (64비트)
cacls %WINDIR%\SYSTEM32\shimgvw.dll /E /R everyone
cacls %WINDIR%\SYSWOW64\shimgvw.dll /E /R everyone


● Windows Vista, Windows Server 2008 (32비트)
icacls %WINDIR%\SYSTEM32 /restore %TEMP%\SHIMGVW_ACL.TXT


● Windows Vista, Windows Server 2008 (64비트)
icacls %WINDIR%\SYSTEM32 /restore %TEMP%\SHIMGVW_ACL32.TXT
icacls %WINDIR%\SYSWOW64 /restore %TEMP%\SHIMGVW_ACL64.TXT

제로데이 취약점은 보안 패치가 공개되기 이전에 외부에 공개된 취약점으로 인하여 악의적인 공격이 있을 수 있으므로 인터넷을 이용하실 때에는 신뢰할 수 있는 보안 제품의 실시간 감시를 반드시 ON하시고 이용하시기 바랍니다.