마이크로소프트 MS11-006 취약점 악용 악성코드

해외 보안 블로그 contagio를 통해 마이크로소프트(Microsoft) 윈도우(Windows)에 존재하는 "MS11-006 Windows 셸 그래픽 처리의 취약점으로 인한 원격 코드 실행 문제점(2483185)"을 악용하는 악성코드가 발견되었음이 공개되었다.

이 번에 알려진 MS11-006 취약점(CVE-2010-3970)을 악용하는 악성코드는 중국어로 된 메일에 7Zip으로 압축된 첨부 파일 형태로 존재하였으며 압축 파일 내부에 정상 이미지 파일과 해당 취약점을 악용하는 마이크로소프트 워드(Word) 파일이 존재하고 있다.

해당 취약점은 윈도우 시스템에 존재하는 Explorer.exe 에서 지원하는 이미지 파일 미리보기와 관련 된 취약점으로 BITMAPINFOHEADER 구조체 중에서 DOWRD biClrUsed 값을 비교할 때 Unsigned 형태가 아닌 Signed 으로 설정하여, 0x80000001와 같은 값을 음수로 인식하여, 0x80000001 만큼 스택(Stack) 에 저장 가능해져, 스택 오버플로우(Stack Overflow)가 발생한다.

해당 취약점으로 인해 스택 오버플로우가 발생하게 되면 쉘코드(Shellcode)에 정의 되어 있는 미국에 위치한 특정 시스템에서 다른 파일을 다운로드 하게 되어 있으나 현재는 정상적인 접속이 되지 않는다.

현재 해당 MS11-006 취약점(CVE-2010-3970)을 제거하는 보안 패치는 마이크로소프트 2월 보안 패치 배포시에 이미 배포 되었다.

그러므로 해당 보안 패치가 적용되었다면 MS11-006 취약점(CVE-2010-3970)을 악용한 보안 위협들로부터 사용중인 윈도우 시스템의 보호가 가능하다.

해당 취약점을 악용하는 취약한 워드 파일은 V3 제품군에서 다음과 같이 진단한다.

Exploit/Cve-2010-3970

악성코드로부터의 피해를 예방하기 위해서는 사용하는 시스템에 다음과 같은 사항들을 적용하여 피해가 발생하기 전에 주의를 하는 것이 중요하다.

1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.

2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.

3. 웹 브라우저를 통해 유포되는 악성코드의 감염을 예방하고 사기 사이트 및 피싱 사이트를 차단하는 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

6. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다.