'WebClient'에 해당되는 글 2건

  1. 2010.08.26 DLL 하이재킹 취약점으로 인한 악성코드 감염 주의
  2. 2010.07.19 MS 윈도우 쉘 .lnk(바로가기) 취약점 주의
2010.08.26 11:55

DLL 하이재킹 취약점으로 인한 악성코드 감염 주의

□ 개요

   o 일부 응용프로그램에서 로드하는 라이브러리 파일의 경로를 부적절하게 검증함으로 인해 
     원격코드실행 취약점이 발생 [1, 3, 4, 5, 10]
   o 공격자는 취약한 프로그램을 사용하는 파일을 USB 이동저장매체, 압축 해제된 파일, WebDav, 
     원격 네트워크 공유 등을 통해 열도록 유도하여, 동일한 경로의 악의적인 라이브러리 파일이
     로드되어 실행되게 함으로써 악성코드를 유포할 수 있음 [1, 6, 7]
   o 취약점을 공격하는 개념증명코드가 공개되었고 다수의 응용프로그램이 취약할 것으로 
     추정[2, 5]되므로, 개발자의 취약점 점검 조치 및 사용자의 각별한 주의가 요구됨

□ 해당 시스템
   o 영향 받는 소프트웨어 [1, 5]
     - 외부 라이브러리를 안전하지 않은 방식으로 로드하는 응용프로그램
       ※ LoadLibrary() 및 LoadLibraryEx()에서 라이브러리 파일의 절대 경로를 인자로 전달하지 
          않은 경우 취약점이 발생할 수 있음

□ 권장 조치 방안
   o 해당 취약점은 취약한 응용프로그램을 개발한 제작사에서 보안 업데이트를 발표해야할
     사안으로, 응용프로그램 개발자는 다음과 같은 조치를 권장함
     - 응용프로그램이 취약한지 여부를 "DLL Hijacking Audit Tool[11]"로 판단
     - Microsoft의 MSDN 사이트에서 DLL 검색 순서[8] 및 DLL 보안[9]에 관한 문서를 참고하고,
       외부 라이브러리를 안전하게 로드할 수 있도록 해당 취약점을 패치
   o 일반 사용자는 취약점을 통한 공격을 완화시키기 위해 다음과 같은 설정 적용
     - Microsoft 기술자료 2264107[12]를 참고하여 WebDAV와 원격 네트워크 공유로부터
       라이브러리가 로딩되지 않도록 설정
     - WebClient 서비스를 비활성화
       * 시작 → 실행 → services.msc 입력 후 확인 → WebClient 서비스 속성 → 시작 유형을
         "사용 안 함"으로 설정 및 서비스 중지 선택 후 확인
     - 방화벽에서 TCP 139, 145 포트 차단
       ※ WebClient에 종속적이거나 해당 포트를 사용하는 윈도우 서비스나 응용프로그램을 사용하는
           시스템은, 기능상 장애가 발생할 수 있음
   o 취약점에 의한 피해를 줄이기 위하여 사용자는 다음과 같은 사항을 준수해야함
     - 파일공유 기능 등을 사용하지 않으면 비활성화하고 개인방화벽을 반드시 사용
     - 사용하고 있는 백신프로그램의 최신 업데이트를 유지하고, 실시간 감시기능을 활성화
     - 신뢰되지 않는 웹 사이트의 방문 자제
     - 출처가 불분명한 이메일의 링크 클릭하거나 첨부파일 열어보기 자제


□ 용어 정리
   o DLL(Dynamic Link Library, 동적 연결 라이브러리): 동시에 하나 이상의 프로그램에서 사용될
     수 있는 코드와 데이터를 포함한 라이브러리로, DLL을 사용하면 프로그램을 분리된 구성 요소로 
     모듈화하여 작성할 수 있음
   o WebDAV(Web Distributed Authoring and Versioning): 웹 기반으로 파일의 생성, 복사,
     이동 및 삭제와 같은 기능이 수행되는 방식을 정의하는 HTTP 확장
     
□ 기타 문의사항
   o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

□ 참고사이트
   [1] http://www.microsoft.com/technet/security/advisory/2269637.mspx
   [2] http://www.theregister.co.uk/2010/08/20/windows_code_execution_vuln/
   [3] http://isc.sans.edu/diary.html?storyid=9445
   [4] http://acrossecurity.blogspot.com/2010/08/binary-planting-update-day-6.html
   [5] http://www.acrossecurity.com/advisories.htm
   [6] http://blog.metasploit.com/2010/08/exploiting-dll-hijacking-flaws.html
   [7] http://blog.rapid7.com/?p=5325
   [8] http://msdn.microsoft.com/en-us/library/ms682586(VS.85).aspx
   [9] http://msdn.microsoft.com/en-us/library/ff919712(VS.85).aspx
   [10] http://blog.zoller.lu/2010/08/cve-2010-xn-loadlibrarygetprocaddress.html
   [11] https://www.metasploit.com/redmine/projects/framework/repository/raw/external/
source/DLLHijackAuditKit.zip

   [12] http://support.microsoft.com/kb/2264107


Trackback 0 Comment 0
2010.07.19 15:54

MS 윈도우 쉘 .lnk(바로가기) 취약점 주의

□ 개요
 o 마이크로소프트사(MS)는 윈도우 쉘(Shell)의 .lnk 취약점[1,2]을 발표
 o 윈도우 쉘이 특수하게 조작된 바로가기(lnk) 파일을 처리하는 과정에서 원격코드실행 취약점이
    존재함
 o 현재 해당 취약점을 이용한 공격이 이루어지고 있고 MS 윈도우의 국내 이용자 비율이 높음으로
    이용자 주의 필요

□ 설명

 o MS 윈도우의 쉘(Shell) 원격코드실행 취약점 발표
   - 윈도우 이용자가 특수하게 처리된 윈도우 바로가기 파일(lnk)을 클릭할 경우 공격자가 의도한
      악성코드에 감염될 수 있음
   - 해당 취약점은 USB 등의 이동식 저장매체에서도 동작하기 때문에 이동식 저장매체를 통한 전파에
      유의
   - 현재 MS에서 지원하는 공식 보안 업데이트는 발표되지 않음

□ 영향을 받는 시스템
 o 모든 윈도우 버전

□ 임시 조치 방법
 o 다음 URL의 조치방법(Workaround)에 따라 조치
    ※ http://www.microsoft.com/technet/security/advisory/2286198.mspx
    ※ 주의: 본 조치 방법을 취할 경우 바로가기 아이콘의 이미지가 표시되지 않으며 Webclient
        서비스와 관련된 기능을 사용할 수 없음

□ 용어 정리
 o 바로가기: 자주 사용하는 문서나 프로그램을 가장 편리한 장소에서 빠르게 사용하기 위해
    바탕화면 등에 설치하는 작은 아이콘
 o Webclinet 서비스: HTTP의 확장 프로토콜인 WebDAV(Web Distributed Authoring and
    Versioning)을 이용하여 웹서버의 파일을 접근 및 수정할 수 있도록 하는 서비스

□ 기타 문의사항
 o 보안업데이트는 언제 발표되나요?
   - 아직 구체적인 일정이 발표되지는 않았지만 발표될 경우 KrCERT 홈페이지를 통해 신속히 공지할
      예정입니다
 o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

□ 참고사이트
[1] http://www.microsoft.com/technet/security/advisory/2286198.mspx
[2] http://www.kb.cert.org/vuls/id/940193



□ 임시 대응방안

- 취약점 공격에 사용될 수 있는 레지스트리 키 값을 공백으로 변경하거나, WebClient 서비스를 정지함.

 

1. 레지스트리 편집기를 이용한 방법

- 시작-> 실행에 regedit를 입력하여 레지스트리 편집기를 실행함

- 레지스트리 편집기를 열어 다음의 레지스트리 키 경로로 이동

HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler

- 레지스트리 편집기에서 파일->내보내기 선택

- 파일 이름을 LNK_Icon_Backup.reg로 지정하고 레지스트리 키 백업

- 해당 레지스트리 레지스트리 키 데이터 값을 제거하여 공백으로 설정

- 인터넷 익스플로러 또는 윈도우 재시작

 

2. WebClient 서비스를 정지하는 방법

- 시작-> 실행에 Services.msc 를 입력하여 서비스 관리 프로그램 실행

- WebClient 서비스를 선택하고 마우스 오른쪽 버튼을 눌러 속성 메뉴를 선택

- 일반 탭에서 WebClient 시작 유형을 "자동"에서 "사용안함"으로 변경

  (서비스가 동작 중일 경우 "중지" 버튼 클릭으로 서비스 중지)

- 서비스 관리 프로그램 종료

출처 : 하우리


Trackback 0 Comment 0