Windows에 내장된 인터넷 익스플로러(Internet Explorer)를 이용하여 악성코드가 심어진 사이트에 접속할 경우 PC 또한 악성코드에 감염되고 결과적으로 PC의 관리자 권한이 탈취당할 수 있습니다.
특히나 언론사 사이트들이 악성 스크립트에 노출된 경우가 많다고 하니 주의하시기 바랍니다.
참고로 국정원에서는 제공하고 있는 보안권고문을 첨부해 드립니다.
■ 개 요
MS사의 Internet Explorer에서 XML을 처리하는 과정에 원격코드 실행이 가능한 취약점이 발표됨에 따라 각급기관은 제로데이 공격에 대비하여 아래의 임시대응책을 조속히 수행하시기 바랍니다.
* 본 취약점에 대한 MS사의 공식 보안패치가 발표되지 않았으며 해당 취약점을 악용한 악성코드가 유포되고 있으므로 사용자의 주의를 요함
■ 취약점 내용
o 설 명
Internet Explorer에서 XML을 처리하는 과정에 원격코드 실행 취약점이 존재하여 공격자는 해당 취약점을 이용하여 악의적인 웹페이지를 구축한 후 사용자의 방문을 유도, 악성코드 등을 설치하여 취약한 시스템에 대한 완전한 권한 획득이 가능하다.(CVE-2008-4844)
* XML(Extensible Markup Language) : 웹에서 데이터를 사용하기 위한 범용 언어로서 여러가지 응용프로그램으로부터 구조화된 데이터를 PC로 전달 가능
o 영향받는 시스템
- Microsoft Internet Explorer 5.01
- Microsoft Internet Explorer 6
- Windows Internet Explorer 7
- Windows Internet Explorer 8 Beta 2
o 임시 대응책
- 현재 MS사의 보안패치가 발표되지 않았으므로 아래와 같이 임시로 Internet Explorer의 설정을 변경하여 공격시 피해를 최소화 한다.
[Internet Explorer의 '인터넷' 보안 설정에서 'Active 스크립팅'의 사용을 제한]
1. Internet Explorer의 '도구' 메뉴에서 '인터넷 옵션' 클릭
2. '보안탭' 클릭
3. '인터넷' 아이콘 클릭
4. '사용자 지정 수준' 클릭
5. '스크립팅' 섹션 중 'Active 스크립팅'에서 '확인'을 선택
* '확인'을 선택하는 경우, 웹사이트 접속시 '스크립트 실행을 허용하시겠습니까?' 창이 나올 수 있는데 신뢰할 수 없는 사이트인 경우에는 '아니오'를 선택해야 하며, 이때는 화면의 일부가 보이지 않는 등 문제가 발생될 수 있음
- 상기 대응책은 해당 취약점에 대한 모든 공격을 차단할 수 없으므로 아래 사항을 준수하여 PC 보안관리를 강화한다.
1. 의심스러운 사이트 방문 자제
2. 출처가 불분명한 이메일 열람 금지
* 특히, 이메일 본문에 있는 인터넷 사이트 연결 링크의 클릭 절대 주의
3. 백신 소프트웨어를 최신버전으로 유지하고 실시간 감시기능 사용
■ 관련사이트
→ http://www.microsoft.com/technet/security/advisory/961051.mspx
→ http://www.securityfocus.com/bid/32721
→ http://isc.sans.org/diary.html?storyid=5458
1. DEP 보호 켬
(시스템 -> 고급 -> 성능(설정) -> 데이터 실행 방지(DEP) 탭에서 사용하도록 설정합니다.
2. Hosts 파일 수정
현재 공격을 주도하는 사이트로는 wwwwyyyy.cn과 sllwrnm5.cn입니다.
따라서, HOSTS. 파일에 다음의 내용을 추가하여 사용자 피시가 은연 중에 공격 사이트에 접속하지 않도록 방지합니다.
127.0.0.1 wwwwyyyy.cn
127.0.0.1 sllwrnm5.cn
