본문 바로가기

벌새::Security

마이크로소프트(Microsoft) 보안 권고 : Microsoft Security Advisory (2639658) - CVE-2011-3402 (2011.11.4)

작년 여름에 이란 원자력 발전소를 공격 목표로 제작된 Stuxnet 악성코드를 참조한 새로운 백도어(Backdoor) 기능을 가진 Duqu 악성코드가 2011년 10월 중순경에 발견되었습니다.

최초 발견 당시에는 어떤 경로를 통해 설치가 이루어졌는지 인스톨(Installer) 파일이 확인되지 않았지만 최근 헝가리 보안 업체 Cryptography and System Security(CrySyS)에서 감염을 유발시킨 파일을 확인하면서 마이크로소프트(Microsoft)사의 Windows kernel 제로데이(0-Day) 취약점 CVE-2011-3402을 이용하였다는 사실이 확인되었습니다.

이에 따른 마이크로소프트사에서는 해당 취약점에 대한 긴급 보안 권고를 통해 마이크로소프트 윈도우 구성 요소 중 하나인 Win32k TrueType font parsing 엔진의 취약점을 이용하여 커널 모드에서 임의의 코드를 실행할 수 있음을 확인하였습니다.

공격에 성공한 공격자는 이를 통해 프로그램 설치, 파일 보기, 변경, 데이터 삭제, 새로운 계정 생성 등 완전한 권한 획득이 가능합니다.

해당 Duqu 악성코드는 Stuxnet에서 사용된 MRXCLS.SYS 구성 요소와 유사한 JMINET7.SYS 커널 드라이버를 사용하고 있지만, Duqu는 백도어(Backdoor) 기능을 하는 다른 형태로 산업 스파이와 같은 역할을 한다고 볼 수 있다.

현재까지 악성 이메일의 첨부 파일에 포함된 Microsoft Word(.doc) 문서를 사용자가 열어볼 경우 취약점을 이용하여 감염을 시키는 것으로 알려져 있으며, 이를 통해 각종 산업체 기밀 정보를 수집하여 외부의 서버에 AES 암호화 방식으로 구성된 JPG 그림 파일 형태로 유출을 시키는 것으로 확인되었습니다.

[영향을 받는 소프트웨어]

■ Windows XP Service Pack 3
■ Windows XP Professional x64 Edition Service Pack 2
■ Windows Server 2003 Service Pack 2
■ Windows Server 2003 x64 Edition Service Pack 2
■ Windows Server 2003 with SP2 for Itanium-based Systems
■ Windows Vista Service Pack 2
■ Windows Vista x64 Edition Service Pack 2
■ Windows Server 2008 for 32-bit Systems Service Pack 2
■ Windows Server 2008 for x64-based Systems Service Pack 2
■ Windows Server 2008 for Itanium-based Systems Service Pack 2
■ Windows 7 for 32-bit Systems, Windows 7 for 32-bit Systems Service Pack 1
■ Windows 7 for x64-based Systems, Windows 7 for x64-based Systems Service Pack 1
■ Windows Server 2008 R2 for x64-based Systems, Windows Server 2008 R2 for x64-based Systems Service Pack 1
■ Windows Server 2008 R2 for Itanium-based Systems, Windows Server 2008 R2 for Itanium-based Systems Service Pack 1

현재 해당 취약점에 대한 보안 패치가 공개되지 않았으므로 임시적으로 다음과 같은 조치로 예방을 할 수 있습니다.(※ 해당 임시 조치는 임베이드된 폰트 기술에 의존하는 일부 응용 소프트웨어의 정상적인 동작에 문제를 유발할 수 있습니다.)

또한 관리자 권한으로 cmd 명령을 입력하시기 바라며, 차후 보안 패치가 공개되었을 때에는 반드시 해당 임시 조치를 해제하시고 패치를 설치하시기 바랍니다.

1. 조치 방법


● Windows XP, Windows Server 2003 (32비트)

Echo y| cacls "%windir%\system32\t2embed.dll" /E /P everyone:N

● Windows XP, Windows Server 2003 (64비트)

Echo y| cacls "%windir%\system32\t2embed.dll" /E /P everyone:N
Echo y| cacls "%windir%\syswow64\t2embed.dll" /E /P everyone:N

● Windows Vista, Windows 7, Windows Server 2008, Windows Server 2008 R2 (32비트)

Takeown.exe /f "%windir%\system32\t2embed.dll"
Icacls.exe "%windir%\system32\t2embed.dll" /deny everyone:(F)

● Windows Vista, Windows 7, Windows Server 2008, Windows Server 2008 R2 (64비트)

Takeown.exe /f "%windir%\system32\t2embed.dll"
Icacls.exe "%windir%\system32\t2embed.dll" /deny everyone:(F)
Takeown.exe /f "%windir%\syswow64\t2embed.dll"
Icacls.exe "%windir%\syswow64\t2embed.dll" /deny everyone:(F)

2. 해제 방법


● Windows XP, Windows Server 2003 (32비트)

cacls "%windir%\system32\t2embed.dll" /E /R everyone

● Windows XP, Windows Server 2003 (64비트)

cacls "%windir%\system32\t2embed.dll" /E /R everyone
cacls "%windir%\syswow64\t2embed.dll" /E /R everyone

● Windows Vista, Windows 7, Windows Server 2008, Windows Server 2008 R2 (32비트)

Icacls.exe %WINDIR%\system32\t2embed.DLL /remove:d  everyone

● Windows Vista, Windows 7, Windows Server 2008, Windows Server 2008 R2 (64비트)

Icacls.exe %WINDIR%\system32\t2embed.DLL /remove:d  everyone
Icacls.exe %WINDIR%\syswow64\t2embed.DLL /remove:d  everyone

일반적으로 개인 사용자보다는 기업체, 연구소, 공공기관 등의 PC에서 해당 임시 조치를 통해 만약의 사태를 대비하시는 것이 안전할 것으로 판단됩니다.