마이넷 :: 초고속 대용량 웹호스팅

제목 | [보안] MS VBScript 원격코드실행 취약점 보안공지

| 날짜 [2010-03-02]

□ 개요
o Internet Explorer를 사용할 때 VBScript가 윈도우 도움말 파일과 상호 동작하는 방식의 문제로 인해 임의의 원격코드가
실행될 수 있는 취약점이 공개 [1, 2, 3]
- 공격자는 스팸 메일이나 메신저의 링크를 통해 특수하게 조작된 콘텐트로 구성된 악의적인 웹 사이트에 방문 후 F1키를
누르도록 사용자를 유도하여, 해당 사용자의 권한으로 원격코드 실행이 가능함
※ 대화상자가 팝업되었을 때 F1키를 누르지 않는 경우, 공격이 성공하지 않음
※ VBScript (Visual Basic Scripting Edition) : MS社에 의해 개발된 동적 스크립트 언어로 MS의 웹 클라이언트(IE)-서버
(IIS) 환경에서 주로 사용됨
o 모든 버전의 Internet Explorer을 대상으로 공격이 가능한 취약점이 공개되었으므로 인터넷 사용자의 주의가 요구됨

□ 해당 시스템
o 영향 받는 소프트웨어 [1]
- Microsoft Windows 2000 SP4
- Windows XP SP2, SP3
- Windows XP Professional x64 Edition SP2
- Windows Server 2003 SP2
- Windows Server 2003 with SP2 for Itanium-based Systems
- Windows Server 2003 x64 Edition SP2
o 영향 받지 않는는 소프트웨어 [1]
- Windows Vista, SP1, SP2
- Windows Vista x64 Edition, SP1, SP2
- Windows Server 2008 for 32-bit Systems, SP2
- Windows Server 2008 for Itanium-based Systems, SP2
- Windows Server 2008 for x64-based Systems, SP2
- Windows 7 for 32-bit Systems
- Windows 7 for x64-based Systems
- Windows Server 2008 R2 for x64-based Systems
- Windows Server 2008 R2 for Itanium-based Systems

□ 임시 해결 방안
o 현재 해당 취약점에 대한 보안업데이트는 발표되지 않았음
o 웹 사이트의 대화상자가 팝업된 경우 F1키를 누르지 말아야 함
※ 대화상자가 무한히 반복적으로 팝업되면서 F1키를 누르도록 유도할 경우에는 로그오프 또는 작업 관리자에서 IE 종료
o 윈도우 도움말 시스템의 접근을 제한 [1]
- 명령 프롬프트에서 다음 명령을 실행

- 해당 명령 실행 시 윈도우 도움말 시스템의 사용이 불가능하며 복구를 위해서는 다음 명령 실행

o 인터넷 및 로컬 인트라넷 영역에서 ActiveX 컨트롤이나 Active 스크립팅의 사용을 제한 (Active 스크립팅을 사용하는 일부
웹 사이트는 정상적으로 동작하지 않을 수 있으므로 주의) [1]
- 해당 영역의 보안 수준을 "높음"으로 변경
※ 도구 메뉴 → 인터넷 옵션 → 보안 탭 → 보안설정을 변경할 영역 선택 → 보안 수준을 "높음"으로 변경
- 해당 영역의 Active 스크립팅 기능만 제한
※ 도구 메뉴 → 인터넷 옵션 → 보안 탭 → 보안설정을 변경할 영역 선택 → 사용자 지정 수준 버튼 → 스크립팅 섹션의
Active 스크립팅을 "사용 안함" 또는 "확인"으로 설정

o KrCERT/CC와 MS 보안업데이트 사이트[4]를 주기적으로 확인하여 해당 취약점에 대한 보안 업데이트 발표 시 신속히 최신
업데이트를 적용하거나 자동업데이트를 설정
※ 자동업데이트 설정 방법: 시작→제어판→보안센터→자동업데이트→자동(권장) 선택
o 취약점에 의한 피해를 줄이기 위하여 사용자는 다음과 같은 사항을 준수해야함
- 파일공유 기능 등을 사용하지 않으면 비활성화하고 개인방화벽을 반드시 사용
- 사용하고 있는 백신프로그램의 최신 업데이트를 유지하고, 실시간 감시기능을 활성화
- 신뢰되지 않는 웹 사이트의 방문 자제
- 출처가 불분명한 이메일의 링크 클릭하거나 첨부파일 열어보기 자제

□ 기타 문의사항
o 보안업데이트는 언제 발표되나요?
- 해당 보안업데이트의 발표 일정은 미정이나, 발표 시 KrCERT/CC 홈페이지를 통해 신속히 공지할 예정입니다.
o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]
[1] http://www.microsoft.com/technet/security/advisory/981169.mspx
[2] http://isec.pl/vulnerabilities/isec-0027-msgbox-helpfile-ie.txt
[3] http://www.securityfocus.com/bid/38463/
[4] http://update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ko