상세 컨텐츠

본문 제목

마이크로소프트, 활발히 악용되는 인터넷 익스플로러의 제로데이 취약점 경고

국내외 보안동향

by 알약4 2021. 9. 9. 09:00

본문

 

 

Microsoft warns of a zero-day in Internet Explorer that is actively exploited

 

마이크로소프트가 현재 공격자가 취약한 윈도우 시스템을 해킹하기 위해 인터넷 익스플로러 내 제로데이 취약점(CVE-2021-40444)을 활발히 악용하고 있다고 경고했습니다. 하지만 공격이나 공격자의 특성에 대한 정보는 공개하지 않았습니다.

 

해당 취약점은 무기화된 Office 문서를 퍼뜨리는 악성 스팸 공격을 실행하는 공격자가 악용하는 것으로 나타났습니다.

 

MSHTML에 존재하는 원격 코드 실행 취약점은 마이크로소프트 윈도우에 영향을 미치며, CVSS 점수 8.8점을 받았습니다.

 

MSHTML Windows Internet Explorer 브라우저의 주요 HTML 컴포넌트이며 다른 응용 프로그램에서도 사용됩니다.

 

마이크로소프트는 권고를 게시해 아래와 같이 밝혔습니다.

 

“마이크로소프트는 윈도우에 영향을 미치는 MSHTML의 원격 코드 실행 취약점에 대한 제보를 받아 조사 중입니다. 타깃 공격에서 특수 제작된 마이크로소프트 오피스 문서를 통해 이 취약점을 악용하려 시도하고 있습니다. 공격자는 브라우저 렌더링 엔진을 호스팅하는 마이크로소프트 오피스 문서에서 사용되는 악성 ActiveX 컨트롤을 만들 수 있습니다. 이후 공격자는 사용자가 해당 악성 문서를 열도록 유도해야 합니다. 시스템에서 적은 사용자 권한을 가진 사용자는 관리자 권한을 가진 사용자 보다 피해를 덜 입을 수 있습니다.”

 

이 취약점은 Mandiant 연구원인 Bryce Abdo, Dhanesh Kizhakkinan, Genwei Jiang, EXPMON Haifei Li가 발견해 제보했습니다.

 

EXPMON 연구원은 CVE-2021-40444 취약점을 악용한 공격을 마이크로소프트 오피스 사용자를 노리는 매우 정교한 제로데이 공격이라 정의했습니다.

  

 

<이미지 출처 : https://twitter.com/EXPMON_/>

 

  

RedDrip Team을 포함한 다른 연구팀은 해당 익스플로잇을 재현했습니다.

 

 

<이미지 출처 : https://twitter.com/RedDrip7/status/1435551886145310722>

 

 

RedDrip은 마이크로소프트의 보안 업데이트를 기다리는 동안 잠재적 공격을 예방하기 위해 인터넷 익스플로러의 모든 ActiveX 컨트롤을 비활성화할 것을 권장했습니다.

 

다음은 Microsoft에서 공개한 완화법입니다.

 

“인터넷 익스플로러에서 모든 ActiveX 컨트롤을 비활성화하면 공격을 완화시킬 수 있습니다. 레지스트리를 업데이트하는 방식으로 모든 사이트에 적용할 수 있습니다. 이전에 설치된 ActiveX 컨트롤은 계속해서 실행되지만, 해당 공격에 노출되지는 않습니다.”

 

하지만 레지스트리 편집기를 잘못 사용하면 운영 체제를 다시 설치해야 하는 심각한 문제가 발생할 수 있습니다. 마이크로소프트는 레지스트리 편집기를 잘못 사용하여 발생하는 문제가 해결이 불가능할 수 있다고 밝혔습니다. 레지스트리 편집기를 사용하여 발생하는 위험은 사용자가 감수해야 합니다.

 

아래와 같이 시스템에서 ActiveX 컨트롤을 비활성화 가능합니다.

 

1. 모든 영역에서 인터넷 익스플로러 내 ActiveX 컨트롤을 비활성화하려면, 아래 내용을 텍스트 파일에 붙여넣고 확장자를 .reg로 설정합니다.

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]

"1001"=dword:00000003

"1004"=dword:00000003

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]

"1001"=dword:00000003

"1004"=dword:00000003

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]

"1001"=dword:00000003

"1004"=dword:00000003

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]

"1001"=dword:00000003

"1004"=dword:00000003

 

2. .reg 파일을 더블 클릭하여 정책 하이브에 적용합니다.

 

3. 시스템을 재부팅해 새로운 구성이 적용되었는지 확인합니다.

 

 

 

  

 

출처:

https://securityaffairs.co/wordpress/121964/security/microsoft-zero-day.html

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444

관련글 더보기

댓글 영역