회원가입
Smart Console

Microsoft WMI Object Broker ActiveX 컨트롤 취약점으로 인한 피해 주의

2006-11-03 

안녕하세요 호스트센터(주) 시스템관리부 시스템보안팀입니다. 


금번 11월 MS WMI Object Broker ActiveX컨트롤 취약점의 보안을 요약정리해 드리오니 해당 시스템 운영하시는 고객분 께서는 반드시 아래내용을 숙지하시어 보안에 주위하시기 바랍니다. 

문의 : 02-6265-1108 
담당자 : 고효석 

----------------------------------------------------------------- 
□ 개요
  o MS WMI Object Broker ActiveX 컨트롤 취약점으로 인한 원격코드 실행 취약점이 발견되어 사용자의 주의를 요함[1]
  o 공격자는 악의적인 웹페이지를 구축하고 게시판, 이메일의 링크 등을 통해 사용자가 방문토록
    유도하여 본 취약점을 악용할 수 있음
  o 이 취약점이 악용되면 공격자는 영향받는 시스템에 대해 완전한 권한을 획득할 수 있음
    (트로이전과 같은 악성코드 설치 가능)

□ 해당 시스템
  o MS Visual Studio 2005가 설치된 시스템에서 WMI Object Broker ActiveX를 사용하는 모든 응용
    프로그램

□ 설명
  o MS WMI Object Broker ActiveX 컨트롤에 원격코드 실행 가능한 취약점이 존재함
  o 원격코드 실행을 통한 악성코드 전파 가능성이 있음으로 주의를 요함

□ 대응방법
  o 아직 해당 취약점에 대한 보안업데이트는 발표되지 않았으나, MS 보안권고[1]가 게시된 상태임
  o 취약점에 의한 피해를 줄이기 위하여 사용자는 다음과 같이 안전한 브라우징 습관을
    준수해야 함
   - 의심되는 이메일에 포함된 링크를 방문하지 않음
   - 신뢰되지 않은 웹사이트 방문 주의
   - 개인방화벽과 백신제품의 사용 등
  o Internet Explorer의 보안수준을 강화할 수 있는 임시 해결방안 적용(Windows XP 기준)
   - Internet Explorer의 인터넷과 로컬 인트라넷 영역 보안 설정에서 Active 스크립팅의 사용
     제한 : Internet Explorer의 도구 메뉴에서 인터넷 옵션을 클릭 → 보안탭 클릭
      → 인터넷/로컬 인트라넷 아이콘 클릭 → 사용자 지정 수준을 클릭 → 스크립팅 섹션 중
      ActiveX 스크립팅에서 사용안함 또는 확인을 선택
     ※ ActiveX 스크립팅을 사용안함으로 설정하였을 때 일부 웹사이트들은 정상적으로 동작하지
        않을수 있음
  o 웹사이트 개발자/운영자 : 공격자는 보안이 취약한 웹사이트에 공격코드를 삽입하여 악성코드
    경유 또는 유포사이트로 악용할 수 있음. 따라서 웹사이트 개발자/운영자는 서버 운영체제와
    웹서버, 게시판 등 관련 소프트웨어를 최신버전으로 업데이트하고, 다음을 참조하여
    웹사이트를 안전하게 운영해야 함
   - 웹취약점점검서비스 : http://webcheck.krcert.or.kr
   - 홈페이지개발보안가이드 : http://www.krcert.or.kr (메인 페이지 좌측 하단)
      
□ 참고 사이트
  [1] MS 보안권고 : http://www.microsoft.com/technet/security/advisory/927709.mspx


[참 고]

1. 용어 정리
  o WMI Object Broker 컨트롤 : WMI(Windows Management Instrumentation) 서비스는 윈도우즈
    사용자에게 운영체제, 디바이스, 응용프로그램 및 서비스들에 관한 정보를 획득할 수 있도록
    해주는 기능을 제공하는 것으로 WMI Object Broker는 WMI 서비스와 관련된 객체들을 연결시켜
    주는 기능을 담당
  o Active 스크립팅 : 마이크로소프트가 웹 사이트의 기능강화를 위하여 개발한 기술로
    브라우저가 웹 페이지에 포함된 스크립팅 프로그래밍 언어(VBScript, Jscript)를 해석하고
    실행하도록 하는 기능

2. F.A.Q
  o 보안업데이트는 언제 발표되나요?
   - 공식 보안업데이트 일정은 발표되지 않음, 발표될 경우 KrCERT 홈페이지를 통해
     신속히 공지할 예정입니다

3. 기타 문의사항
  o 한국정보보호진흥원 인터넷침해사고대응지원센터 : 국번없이 118

----------------------------------------------------------------- 
참조 : 인터넷침해사고대응센터