최근 어도비 아크로뱃 리더의 제로데이 취약점을 이용한 공격이 발견됐다는 보고에 이어 이와 관련된 업데이트를 앞두고 있는 가운데 또다시 이들 취약점에 대한 새로운 공격 벡터가 발견돼 보안 우려가 증가하고 있다.

미(美) 국토안보부 산하 컴퓨터긴급대응팀(이하 US-CERT)이 지난 10일(현지 시간) 어도비 리더(Adobe Reader)와 아크로뱃(Acrobat)에 영향을 끼치는 취약성에 대한 두 개의 새로운 공격 벡터가 보고되고 있다고 홈페이지를 통해 밝혔다. 해당 취약성은 어도비 아크로뱃 리더가 JBIG2를 처리하는 과정에 관련된 버퍼 오버플로우 조건이 원인이라고 US-CERT는 설명했다.

어도비 리더가 시스템에 설치되면 이것은 아이필터(IFilter)를 추가해 인덱스 PDF 파일에 대한 윈도우 인덱싱 서비스(Windows Indexing Service) 등과 같은 애플리케이션을 허용한다. 때문에 만일 윈도우 인덱싱 서비스가 시스템에 저장된 악성 PDF 파일을 처리하게 되면 해당 취약성이 익스플로이트될 수 있다. 특히 이러한 기술을 이용한 익스플로이트는 사용자의 행위를 전혀 필요로 하지 않는 것으로 알려졌다.

아이필터 추가와 더불어 어도비 아크로뱃과 리더 인스톨 프로세스는 윈도우 익스플로러 쉘 익스텐션(Windows Explorer Shell Extension)을 추가한다. 윈도우 익스플로러가 악성 PDF 파일을 포함한 폴더를 디스플레이할 경우, 취약점이 익스플로이트될 수 있다. 이러한 기술을 이용한 익스플로이트 역시 사용자의 행위를 전혀 필요로 하지 않는다.

JBIG2 취약성 노리는 이러한 새로운 공격 벡터와 관련해 US-CERT는 어도비 아크로뱃 윈도우 쉘 인티그레이션(Adobe Acrobat Windows Shell integration)을 비활성화할 경우 위험을 최소화하는데 도움이 될 수 있다고 설명했다. 다음의 명령을 실행하면 아크로뱃 윈도우 쉘 인티그레이션을 비활성화 할 수 있다.

regsvr32 /u “%CommonProgramFiles%\Adobe\Acrobat\ActiveX\pdfshell.dll”

[김동빈 기자(foregin@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>