[보안업데이트-6] 셸처리기 취약점, 사용자 컨텍스트 악용 가능

MS10-007, 윈도우 셸 처리기 취약점으로 인한 원격코드실행 문제점

<순서>

1. 보안업데이트 무시·간과하고 있지는 않나요?

2. 오피스 취약점, 공격자는 PC 완전제어 가능

3. 파워포인트 취약점, 서버가 더 위험할 수 있어

4. 페인트 취약점, JPEG로 공격자 로컬사용자 권한 얻어

5. SMB 취약점, 서비스 거부도 유발 가능

6. 윈도우 셸 처리기 취약점, 사용자 컨텍스트 악용 가능

7. 액티브X 취약점, Kill 비트 설정해 해결

8. TCP/IP 취약점, IPv6 사용 모든 OS 위험에 노출돼

9. 하이퍼-V 취약점, 가상서버 악용 연결 PC들 서비스거부 유발

10. CSRSS 취약점, 필수 하위 시스템의 사용자 모드 권한 획득

11. SMB 취약점, SMB패킷 보내 PC 악용

12. DirectShow 취약점, 동영상(AVI) 파일 여는 순간 위험

13. Kerberos 취약점, 티켓 갱신 요청 받아들여지면 서비스거부 발생

14. 커널 취약점, 운영체제 핵심인 커널이 특정 예외 잘못 처리

MS10-007(긴급) 보안공지와 관련한 보안 업데이트는 MS 윈도우 2000, 윈도우 XP 및 윈도우 서버 2003에서 발견돼 비공개적으로 보고된 취약점 1건을 해결하며, 다른 윈도우 버전은 이 보안업데이트의 영향을 받지 않는다. 이 취약점으로 인해 웹 브라우저 같은 응용 프로그램이 특수하게 조작된 데이터를 ShellExecute API(응용 프로그래밍 인터페이스) 함수로 윈도우 셸 처리기를 통해 전달할 경우 원격 코드 실행이 발생할 수 있다.

특히 이 보안업데이트의 심각도는 지원되는 모든 MS 윈도우 2000, 윈도우 XP 및 윈도우 서버 2003 에디션에 대해 긴급이며, 지난 1월 말 긴급으로 보안업데이트된 MS10-002 URL 유효성 검사 취약점(CVE-2010-0027)이 사용자 시스템에 설치된 MS 윈도우 버전 및 인터넷 익스플로러 버전에 따라 이 보안업데이트(MS10-007)를 적용하거나 IE 누적 보안 업데이트를(MS10-002)를 적용해 해결한다.

즉 취약한 코드가 액세스되는 위치에 영향을 주는 IE 6 서비스팩1, IE 7 및 IE 8에 도입된 아키텍처의 변경으로 인해 두 가지 업데이트가 필요한 것이다.

심각도 및 취약점-URL 유효성 검사 취약점(CVE-2010-0027)

영향을 받는 MS 윈도우 버전에 원격 코드 실행 취약점이 있으며, 이 취약점은 ShellExecute API 기능으로 전달된 입력의 부적절한 유효성 검사로 인해 발생해 이를 악용한 공격자는 영향을 받는 시스템을 완전히 제어할 수 있게 된다.

아직 대안이 확인되지 않은 이 취약점은 웹 브라우저 같은 응용 프로그램에서 ShellExecute API 기능을 사용해 특수하게 조작된 데이터를 처리하는 경우, ShellExecute가 해당 데이터 스트림의 유효성을 잘못 검사할 수 있으며 이로 인해 로컬 클라이언트 시스템에서 바이너리가 실행될 수 있다.

즉 공격자는 이 취약점을 악용해 인터넷 콘텐츠를 탐색하는 클라이언트 시스템이 취약점으로 인한 위험에 노출돼 로그온한 사용자의 컨텍스트에서 악용될 수 있는 것이다.

한편 이와 관련한 보다 자세한 사항이나 보안업데이트는 MS 테크넷 홈페이지(www.microsoft.com/korea/technet/security/bulletin/ms10-007.mspx)에서 확인할 수 있다.

[김정완 기자(boan3@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)