윈도우 쉘(Shell) 취약점으로 인한 원격코드 실행 문제점
안녕하세요 이스트소프트 보안대응팀입니다.
윈도우의 쉘(Shell)에서 단축 아이콘(LNK; Shortcut) 파일을 처리하는 과정에 원격 코드가 실행될 수 있는 제로데이 취약점이 발견되었습니다. 현재 이번 취약점을 이용한 악성코드(알약 진단명 : Win32.Worm.Stuxnet.A)가 South East Asia 지역 (인도 및 인도네시아 이란 등)을 중심으로 유행하고 있으며, 국내에서도 악성코드 확산 위협이 높으므로 PC 사용자의 주의가 필요합니다.
[상세 정보]
해커가 조작한 악의적인 단축 아이콘(LNK) 파일에서 특정 프로그램을 실행시킬 수 있는 취약점이 존재하며 USB 이동식 디스크(USB 메모리)에 악성 LNK를 담아 악성코드가 유포될 수 있는 가능성이 높습니다. 이번 취약점이 대부분의 윈도우(XP, Vista, 7, 2008)에 해당되므로 임시 조치법을 반드시 PC에 적용하도록 합니다.
<8월 3일 공식 보안 패치 발표 추가>
Microsoft에서 LNK 취약점(CVE-2568)에 대한 보안 패치를 발표하였습니다.아래의 사이트에 들어가 해당 윈도우 버전에 맞는 보안패치를 내려받은 후 설치합니다.공식 보안 패치를 설치한 후에는 임시 조치법를 실행하지 않아도 됩니다.
한글 : http://www.microsoft.com/technet/security/Bulletin/MS10-046.mspx영문 : http://www.microsoft.com/korea/technet/security/bulletin/MS10-046.mspx
[임시 해결책]
※ 레지스트리 변경법 이나 WebClient 서비스 중지 방법 중에서 한 가지를 적용합니다.
* 레지스트리 변경 방법
① 윈도우 키 + R를 누르거나 윈도우 시작메뉴의 "실행"에서 regedit를 입력합니다.② 레지스트리 편집기에서 HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler로 이동합니다.③ 편집기의 "파일" -> "내보내기"를 선택해 레지스트리를 백업해둡니다. (파일 이름 예 : IconHandler.reg)④ IconHandler의 레지스트리 값들을 삭제합니다.
⑤ 윈도우를 재시작합니다.
* WebClient Service 종료법
① 윈도우 키 + R를 누르거나 윈도우 시작메뉴의 "실행"에서 Services.msc를 입력합니다.
② WebClient 서비스에서 오른쪽 마우스 버튼을 눌러 "속성"에서 클릭합니다.
③ 시작 유형을 "사용 안함"으로 변경합니다.
[참고 사이트]
http://www.microsoft.com/technet/security/advisory/2286198.mspxhttp://www.us-cert.gov/current/index.html#microsoft_windows_lnk_vulnerability