VBScript를 이용한 원격 코드 실행 취약점 주의 (CVE-2010-0483)
안녕하십니까? 이스트소프트 보안대응팀입니다.
악의적 목적으로 제작한 웹사이트의 VBScript와 .hlp(도움말) 파일을 이용해 원격코드나 악성코드를 실행할 수 있는 취약점이 발견되었습니다.이번 취약점은 윈도우 2000과 XP, 2003에서 Internet Explorer을 사용하는 도중 F1(도움말)키를 누르도록 유도하는 메시지가 나왔을 때 PC 사용자가 F1 키를 누르면 미리 공격자가 지정한 도움말 파일을 로드해 악성코드를 실행할 수 있습니다. 현재 이 취약점은 Microsoft의 공식 패치가 발표되지 않은 제로데이(Zeroday) 상태이며, 본 취약점을 악용한 악성코드 유포 가능성이 높으므로 PC 사용자들의 주의가 필요합니다.
[해당 시스템]
* Windows 2000 Service Pack 4* Windows XP Service Pack 2~3 (64bit CPU 환경 포함)* Windows Server 2003 Service Pack 2 (Itanium, 64bit CPU 환경 포함)※ Windows Vista/7/2008 시스템은 이번 취약점에 해당되지 않습니다.
[임시 조치법]
1) 현재까지 Microsoft의 공식적인 패치가 발표되지 않은 상황이므로 보안이 취약한 웹사이트에는 가급적 방문하지 않습니다.2) 알약 DB업데이트 상황을 항상 최신으로 유지해야 합니다.3) 알약의 실시간감시를 항상 활성화시켜 악성코드가 PC로 진입하지 못하도록 차단합니다.4) Internet Explorer를 사용하는 도중에 F1 키를 누르도록 권유하는 메시지를 보더라도 절대 F1 키를 누르지 않습니다. (중요!)
(예시 메시지 형식) ※ 메시지의 상세 내용은 달라질 수 있으나 아래의 비슷한 형식에 F1를 누르라는 내용이 들어있다면 이번 취약점을 이용한 VBScript로 볼 수 있습니다.
5) ACL(Access Control List)에서 winhlp32 (Windows Help System)을 제한 설정합니다.명령 프롬프트(cmd)에서 아래의 명령어를 입력합니다.echo Y | cacls "%windir%\winhlp32.exe" /E /P everyone:N
※ ACL 설정 후에는 Windows Help System과 도움말 기능이 정상 작동하지 않을 수 있습니다.복구를 원하는 경우 명령 프롬프트에서 아래의 명령어를 입력합니다.echo Y | cacls "%windir%\winhlp32.exe" /E /R everyone