회사소식

윈스는 최신 이슈를 신속하게 제공하겠습니다.

[보도자료] MS IE 원격코드 실행 제로데이 취약점 발견
작성일 2015-07-22 조회 7755 프린트

 

윈스, MS IE 원격코드 실행 제로데이 취약점 발견

 

- 웹 브라우저 취약점을 이용한 공격 주의, 7월 MS 15-065 패치 적용

- 해킹팀 유출사고 공격 방법인 드라이브 바이 다운로드 공격 가능해 주의 요구

- 해당 보안패치 및 운용 보안제품의 차단 정책 실행 권고

 

정보보안 전문기업 윈스(http://www.wins21.co.kr, 대표 김대연)은 22일, 마이크로소프트(이하 MS)의 인터넷 익스플로러(IE)에 존재하는 원격 코드 실행 취약점을 악용한 공격이 우려된다며 기업과 기관의 보안 관리자 및 사용자의 각별한 주의가 필요하다고 권고했다.

 

이 취약점은 지난 2014년 12월, 윈스 침해사고분석팀에서 발견하여 연구를 진행한 후 2015년 2월 마이크로소프트 시큐리티 대응 센터(MSRC)에 직접 신고한 바 있다.

 

윈스 침해사고분석팀의 연구 결과, 인터넷 익스플로러 10, 11버전을 대상으로 윈도우 7 및 윈도우 8.1에서 보안기능인 ASLR, DEP, CFG를 우회하면서 원격 코드 실행을 할 수 있는 취약점을 발견했고 공격자들에 의해 이 취약점이 악용될 가능성이 있다는 사실을 보고했다.

 

윈스 침해사고분석팀은 이번 취약점이 악용될 경우, 최근에 악성코드 유포 및 APT 공격에서 가장 주로 사용되는 드라이브 바이 다운로드(Drive-By-Download) 형태의 공격이 가능하여 웹페이지에 방문하는 것 만으로도 사용자도 모르게 악성코드가 다운로드 될 수 있다고 밝혔다.

 

MS는 지난 7월 15일 이 취약점을 공개하고 7월 15일 긴급 MS15-065(KB3076321)을 발표한바 있다. 회사측은 이번 공격코드는 MS에서 관련 보안패치를 발표한 이후 바로 유포될 가능성이 있으니 아직 패치를 적용하지 못한 IE 10,11 사용자는 패치를 진행하고, 사용중인 기업 및 기관의 모니터링이 요구된다고 권고했다.

 

회사측은 윈스 보안제품 ‘스나이퍼 APTX(SNIPER APTX)’를 이용중인 기업 및 기관은 취약점 탐지 및차단 시그니처를 적용해 대응할 수 있다고 설명했다.

 

 

윈스 침해사고대응센터(WSEC) 손동식 센터장은 “최근 커뮤니티를 통해 유포되었던 랜섬웨어(크립토락커)나 해킹팀 유출 사고 역시 드라이브 바이 다운로드(Drive By Download) 공격에 의해 악성코드가 실행되고 내부 자료 유출의 시작점이 되었다는 것을 감안하면 이 취약점을 이용한 공격이 발생할 경우 국내 역시 심각한 피해가 초래될 수 있다.” 라며, “각 사용자는 최신 패치를 업데이트하고, 보안관리자는 보안 제품에서 차단 시그니처를 적용해 차단 정책을 실행해야 한다. “고 말했다.

 

한편, 윈스 서트(WINS CERT)는 사이버 침해사고의 근본원인인 취약점, 악성코드, 해킹, 웜, 스파이웨어, 비정상 트래픽 등을 분석하고 연구하는 역할을 하며, 정보보호 실무경험이 풍부한 전문인력과 다년간의 취약성 정보 분석 노하우를 바탕으로 지속적인 위협 분석 서비스를 제공한다. 윈스 서트의 위협 분석 결과는 ‘시큐어캐스트’와 윈스블로그 (https://wins21.co.kr/blog/blog-sub-01.html?t=31&num=85)를 통해 서비스되고 있으며, ‘스나이퍼 APTX’에 위협탐지 및 차단 시그니처로 탑재되고 있다.

 

<설명> CVE-2015-1773 IE 취약점을 이용한 공격시연 화면

<용어설명>

▶ 드라이브 바이 다운로드(Drive-By-Download)

웹사이트 접속 시 취약점을 이용하여, 악성코드를 실행시키는 기법

 

▶ 랜섬웨어(크립토락커)

사용자의 중요 파일을 암호화 하고 복호화에 금전을 요구하는 악성코드

 

▶ASLR(Address Space Layout Randomization),

윈도우 메모리 보호 기법으로 프로세스 호출 시 주소를 랜덤화하여 공격자가 정확한 주소지를 알지 못하게 하여, 메모리 공격 시도를 어렵게 한다.

 

▶DEP(Data Execute Protection)

가상메모리에 기존의 읽기,쓰기 권한 이외에 실행 권한을 체크하도록 하여 시스템을 보호

 

▶CFG(Control Flow Guard)

Windows 10과 8.1u3에 채택된 보호메커니즘으로 ASLR과 DEP의 커버 범위를 벗어나는 공격에 대한 대응책으로 간접호출(indirect call) 보호에 초점을 맞추고 있다.

첨부파일 첨부파일이 없습니다.