보안칼럼
이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.
IE 취약점을 노린 공격 주의!
2014년 4월 27일 Microsoft(이하 MS)에서 Internet Explorer(이하 IE) 취약점(CVE-2014-1776)을 발표하였습니다.
해당 취약점은 IE사용자가 악성코드가 감염된 웹 사이트를 접속할 경우, 해커로부터 임의의 코드가 실행될 수 있는 것입니다. 이에 미국과 영국 정부에서 IE 사용을 막을 정도로 사용자에게는 치명적인 취약점입니다.
이번 취약점에서는 Adobe Flash Player의 힙 스프레이 공격과 Use-After-Free 취약점이 공격 수단으로 활용됩니다. IE에서는 전용벡터 마크업 언어인 VML(Vector Markup Language)를 사용하고 있으며, VML을 처리하기 위해서는 ‘vgx.dll’이라는 라이브러리가 실행되어야 합니다. 하지만 ‘vgx.dll’ 라이브러리에는 Use-After-Free의 취약점이 존재합니다. ‘Use-After-Free’란 할당 해제한 메모리를 다시 참조하는 과정에서 발생하는 취약점을 뜻하며, Windows 메모리 보안 기능인 DEP(Data Execution Prevention)와 ASLR(Address Space Layout Randomization)을 우회할 수 있습니다. 해커는 이를 통해 원격에서 공격코드 실행 후 시스템을 감염시킬 수 있고, 디도스, 파밍 공격 등에 악용할 수 있습니다.
해당 취약점은 IE6 ~ IE11 버전에 모두 존재하지만, 실제로 해외에서 발견된 공격코드(Operation Clandestine Fox)는 IE9 ~ IE11 버전을 타겟으로 하고 있습니다.이는 사용자들이 Windows XP 서비스 종료로 인하여 상위 OS로 업그레이드 한다는 점을 노린 해커의 의도로 보입니다.
하지만 Windows XP 사용자들도 방심해서는 안될 문제입니다. 보안 패치가 더 이상 제공되지 않기 때문에 XP에서 IE를 사용하는 사용자들에게는 영구적인 취약점이 될 수 있기 때문입니다. 더불어 이번 취약점의 경우는 국내에서 더욱 치명적인 위협이 될 수 있습니다. 국내의 경우, 아직도 XP에서 IE6~IE8을 사용하는 사용자 비율이 30%나 차지합니다. 이는 절대로 적은 수치가 아닙니다.
MS에서는 취약점 발표와 함께 몇 가지 임시 조치방안을 즉각적으로 제시했습니다.
1. MS의 EME4.1 툴킷을 설치 후 Adobe Flash Player 플러그인 비활성화 2. 인터넷 익스플로러 11의 경우, ‘향상된 보호 모드’ 기능 활성화 3. 액티브 스크립팅 기능 ‘사용 안함’ 설정 4. 다른 브라우저 사용 (스윙, 크롬, 모질라, 오페라 등) 5. xp사용자의 경우 ‘vgx.dll’ 파일 삭제 후 재등록하지 않음
4일 후인 5월 1일, MS는 긴급 업데이트를 공개하였습니다. 사용자는 Windows 자동 업데이트를 통해 해당 취약점 패치를 적용할 수 있습니다. 업데이트 내역에 (KB2964358)이 존재한다면 정상적으로 업데이트가 진행된 것입니다. 혹시라도 해당 내역이 없다면 직접 업데이트를 해주셔야 합니다.
특이한 점은 이번 보안 업데이트에 Windows XP용 IE도 포함되어 있다는 것입니다. 그러나 MS에서는 해당 패치가 마지막이며, XP사용자는 최신OS로 마이그레이션할 것을 권고했습니다. MS의 윈도 XP지원이 종료됨에 따라 원래는 XP 버전의 패치가 진행되지 않아 해당 취약점이 ‘제로데이 취약점’이 될 것으로 예상되었지만, MS가 사용자를 위하여 취약점 패치를 제공하여 마지막 배려를 해준 셈입니다.
그리고 5월 13일, MS 정기 업데이트가 완료되었습니다. MS는 IE가 메모리에서 개체를 처리하는 방식을 수정하여 취약점을 해결했다고 공지했습니다.
IE 취약점 외에도 앞으로도 계속해서 치명적인 취약점이 나올 가능성이 높습니다. 앞으로 발생하는 XP 버전의 취약점은 영원히 패치가 이뤄지지 않는 제로데이 취약점이 될지도 모릅니다. 따라서 사용자들은 해당 업체에서 제공하는 해결법들을 잘 따라 신속히 보안조치를 취해야 할 것이고, 더 나아가 정기적으로 업데이트하는 습관이 필요하겠습니다.