마이크로소프트, 보안 공지 발표... 임시 대책 권고에 따라야

[보안뉴스 호애진] 마이크로소프트가 17일 보안 공지를 발표하고, 현재 인터넷에 유포돼 있는 한 인터넷 익스플로러 제로데이 취약점에 관한 몇 가지 대책을 권고했다.

마이크로소프트는 지난 주말 보고된 이 취약점을 현재 조사 중이라고 밝혔고, 이에 관한 패치는 비정기로 배포되거나 10월 9일 화요일 정기 업데이트에 포함될 것으로 보인다.

이 제로데이 취약점은 메모리 오염 버그로서, 공격자는 이를 이용해 원격으로 코드를 실행할 수 있다. 활성화된 표적 익스플로잇들 역시 검출됐고, 이는 니트로(Nitro)라고 불리는 중국 해커들의 소행인 것으로 알려져 있다. 니트로는 3주 전 2가지 자바 제로데이 취약점의 익스플로잇과도 연관돼 있다. 

취약한 IE 버전은 IE 6~9이며, 마이크로소프트는 아래와 같이 권고했다.

△ 인터넷 및 로컬 인터넷 보안 영역을 높음으로 설정해 액티브X 컨트롤과 액티브 스크립팅을 차단

△ 액티브 스크립팅을 실행하기 전에 프롬프트 메시지를 띄우도록 IE를 구성하거나, 액티브 스크립팅을 사용하지 않음으로 설정

△ 마이크로소프트의 보안 툴인 EMET(Enhanced Mitigation Experience Toolkit)로 취약점을 완화. 이는 위의 두 조치와는 다르게 웹사이트 이용성에 영향을 주지 않는다.

아울러 마이크로소프트는 윈도우 서버 2003, 2008, 2008R2에서 구동되는 IE는 제한적 모드로 실행돼 이 취약점이 완화된다고 밝혔다.

아웃룩, 아웃룩 익스프레스, 윈도우 메일 역시 제한된 영역(restricted zone)에서 HTML 메시지를 열어 취약점이 완화되지만, 이용자가 메시지 안의 링크를 클릭할 경우 취약점에 노출될 수 있다.

이 취약점은 IE가 삭제되거나 또는 적절히 할당되지 않은 오브젝트에 액세스하는 방식에서 기인한다. 공격자는 이 취약점을 악용할 수 있도록 만들어진 감염 사이트로 이용자를 유인한다. 유인에 성공할 경우 공격자는 해당 이용자와 관련해 코드를 실행할 수 있게 된다.

한편, 해당 취약점은 지난 주말 보안전문가인 에릭 로망(Eric Romang)에 의해 발견됐다. 로망은 자바 제로데이 취약점들의 익스플로잇에 감염된 서버들을 모니터링하다가 해당 서버들에 이 IE 취약점을 이용하는 익스플로잇이 숨겨져 있는 것을 발견했다.

익스플로잇 파일에는 익스플로잇 HTML 페이지, 감염된 플래시 동영상 및 피해자의 기기로 드롭되는 실행 파일이 포함돼 있었고 이들은 안티멀웨어 프로그램으로 검출되지 않았다. 

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>