MS10-003, MSO의 취약점으로 인한 원격 코드 실행 문제점

<순서>

1. 보안업데이트 무시·간과하고 있지는 않나요?

2. 오피스 취약점, 공격자는 PC 완전제어 가능

3. 파워포인트 취약점, 서버가 더 위험할 수 있어

4. 페인트 취약점, JPEG로 공격자 로컬사용자 권한 얻어

5. SMB 취약점, 서비스 거부도 유발 가능

6. 윈도우 셸 처리기 취약점, 사용자 컨텍스트 악용 가능

7. 액티브X 취약점, Kill 비트 설정해 해결

8. TCP/IP 취약점, IPv6 사용 모든 OS 위험에 노출돼

9. 하이퍼-V 취약점, 가상서버 악용 연결 PC들 서비스거부 유발

10. CSRSS 취약점, 필수 하위 시스템의 사용자 모드 권한 획득

11. SMB 취약점, SMB패킷 보내 PC 악용

12. DirectShow 취약점, 동영상(AVI) 파일 여는 순간 위험

13. Kerberos 취약점, 티켓 갱신 요청 받아들여지면 서비스거부 발생

14. 커널 취약점, 운영체제 핵심인 커널이 특정 예외 잘못 처리

MS10-003(중요) 보안공지와 관련한 이 보안 업데이트는 비공개적으로 보고된 취약점 1건을 해결한다. 사용자가 특수하게 조작된 오피스 파일을 열면 이 MS 오피스 취약점을 통해 원격 코드 실행이 허용될 수 있다. 이 취약점을 악용한 공격자는 영향을 받는 시스템을 완전히 제어할 수 있는 만큼 이에 대한 보안업데이트는 중요하다 하겠다.

특히 이 취약점을 이용하면 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 권리자 권한으로 작업하는 사용자에 비해 영향을 적게 받지만, 공격자가 프로그램을 설치할 수 있을 뿐만 아니라 데이터를 보거나 변경하거나 삭제할 수 있고, 모든 사용자 권한이 있는 새 계정을 만들 수 도 있다.

심각도 및 취약점-MSO.DLL 버퍼 오버플로(CVE-2010-0243)

MS 오피스에서 특수하게 조작된 오피스 파일을 처리하는 방식에 원격 코드 실행 취약점이 존재한다. 이 취약점을 악용한 공격자는 영향을 받는 시스템을 완전히 제어할 수 있다. 이렇게 되면 공격자가 프로그램을 설치할 수 있을 뿐 아니라 데이터를 보거나 변경하거나 삭제할 수 있고, 모든 사용자 권한이 있는 새 계정을 만들 수도 있다.

이 취약점의 원인은 특수하게 조작된 오피스 파일을 사용자가 열면 시스템 메모리가 손상돼 공격자가 임의 코드를 실행할 수 있기 때문이며, 이 취약점을 악용해 성공한 공격자는 로그온한 사용자 자격으로 임의 코드를 실행할 수 있는 것이다.

이 취약점을 악용하려면 사용자가 영향을 받는 SW버전에서 특수하게 조작된 오피스 파일을 열어야 하는데, 이메일을 통한 공격의 경우, 공격자는 특수하게 조작된 오피스 파일을 사용자에게 보내고 파일을 열도록 유도하는 방식으로 이 취약점을 악용할 수 있다.

웹 기반의 공격 시나리오에서 웹사이트는 이 취약점을 악용하기 위해 사용되는 오피스 파일을 포함하고 있을 수 있으며, 공격자는 사용자가 이메일 메시지 또는 메신저 메시지의 링크를 클락해 공격자의 웹사이트를 방문해 특수하게 조작된 오피스 파일을 열도록 유도하는 것이 일반적인 만큼 사용자는 의심이 가는 이메일 등은 클릭하지 않는 것이 좋다.

그런 측면에서 이 보안업데이트는 MS 오피스에서 파일을 여는 방식을 수정했기 때문에 취약점을 해결하고 있는 만큼 사용자는 이에 대한 보안업데이트를 반드시 해야 한다.

한편 이와 관련한 보다 자세한 사항이나 보안업데이트는 MS 테크넷 홈페이지(www.microsoft.com/korea/technet/security/bulletin/ms10-003.mspx)에서 확인할 수 있다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>