도움말 및 지원 센터 HCP 프로토콜 처리 취약점... 개념증명코드 공개돼

[보안뉴스 호애진] 마이크로소프트(MS)의 운영체제에서 제공하는 도움말 및 지원센터 기능에 원격의 공격자로부터 코드실행을 허용할 수 있는 취약점이 발견됐다.

현재 공격코드가 인터넷 상에 유포된 상태이며 벤더사인 MS의 정식패치가 제공되지 않은 상태로 사용자들의 각별한 주의가 요구된다.

도움말 및 지원 센터는 사용자에게 윈도우 기능, 마이크로소프트에서 지원받는 방법 등의 도움말 및 지원 기능 및 웹상으로의 도움말 제공, 원격지원 등의 기능을 제공하는데 이를 URL 형태로 사용할 수 있도록 지원하는 HCP 프로토콜에 대한 검증이 적절하게 수행되지 못해 발생하는 것으로 확인됐다.

HCP프로토콜은 HTTP URL과 비슷하게 사용되며 이 취약점을 이용해 웹페이지, 메일을 통해 HCP URI가 포함된 URL 링크를 클릭하도록 유도하는 공격을 할 수 있다.

해당 취약점은 윈도우 XP와 윈도우 서버 2003에만 영향을 미치며 사용자가 특정 악의적인 웹 사이트에 방문하거나 특정 악성 이메일 링크를 클릭할 경우 원격 코드가 실행될 수 있다.

공격자가 강제적으로 사용자로 하여금 웹 페이지에 접근하도록 할 수는 없지만 게시판 링크, 이메일, 메신저 등을 사용한 사회공학적 기법을 통해 사용자의 웹 페이지 방문을 유도할 수 있다.

현재 해당 취약점에 대한 보안업데이트는 발표되지 않았으며 MS에서는 해당 취약점에 대한 임시 해결 방안으로 HCP 프로토콜 레지스트리를 등록 해제한 후 보안 패치가 공개된 시점에서 복원하도록 권고하고 있다.

차후 해당 취약점에 대한 보안 패치가 공개됐을 경우, 보안 패치를 적용하기 이전에 HKEY_CLASSES_ROOT\HCP 레지스트리 복원 파일(reg 파일)을 더블 클릭해 재등록 하면 된다.                

[호애진 기자(is@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>