MS Internet Explorer 원격코드 실행 신규 취약점

▷ 개요

   

    마이크로소프트(이하 MS)의 Internet Explorer에서 원격코드 실행이 가능한 신규 취약점이 발견 (https://technet.microsoft.com/)

 

 

▷ 현황

 

    1. 일시 : 2014년 04월 29일

    2. 내용 : Use-After-Free를 이용한 원격코드 실행 취약점(CVE-2014-1776)

    ※ Use-After-Free : 할당 해제한 메모리를 다시 참조하는 과정에서 발생하는 취약점

    3. 상세 내용

        - 해당 취약점에 대한 보안 업데이트는 아직 발표되지 않았으나 취약점을 악용한 공격 시도가 해외에서 확인되어 사용자의 주의가 특히 요구됨

          (http://www.fireeye.com/)

        - 영향을 받는 제품 (IE 6 ~ IE 11)

 

 

▷ 해당 시스템

 

Operating System	Component
Internet Explorer 6
Windows Server 2003 Service Pack 2	Internet Explorer 6
Windows Server 2003 x64 Edition Service Pack 2	Internet Explorer 6
Windows Server 2003 with SP2 for Itanium-based Systems	Internet Explorer 6
Internet Explorer 7
Windows Server 2003 Service Pack 2	Internet Explorer 7
Windows Server 2003 x64 Edition Service Pack 2	Internet Explorer 7
Windows Server 2003 with SP2 for Itanium-based Systems	Internet Explorer 7
Windows Vista Service Pack 2	Internet Explorer 7
Windows Vista x64 Edition Service Pack 2	Internet Explorer 7
Windows Server 2008 for 32-bit Systems Service Pack 2	Internet Explorer 7
WIndows Server 2008 for x64-based Systems Service Pack 2	Internet Explorer 7
Windows Server 2008 for Itanium-based Systems Service Pack 2	Internet Explorer 7
Internet Explorer 8
Windows Server 2003 Service Pack 2	Internet Explorer 8
Windows Server 2003 x64 Edition Service Pack 2	Internet Explorer 8
Windows Vista Service Pack 2	Internet Explorer 8
Windows Vista x64 Edition Service Pack 2	Internet Explorer 8
Windows Server 2008 for 32-bit Systems Service Pack 2	Internet Explorer 8
Windows Server 2008 for x64-based Systems Service Pack 2	Internet Explorer 8
Windows 7 for 32-bit Systems Service Pack 1	Internet Explorer 8
Windows 7 for x64-based Systems Service Pack 1	Internet Explorer 8
Windows Server 2008 R2 for x64-based Systems Service Pack 1	Internet Explorer 8
Windows Server 2008 R2 for Itanium-based Systems Service Pack 1	Internet Explorer 8

 

 

Operating System	Component
Internet Explorer 9
Windows Vista Service Pack 2	Internet Explorer 9
Windows Vista x64 Edition Service Pack 2	Internet Explorer 9
Windows Server 2008 for 32-bit Systems Service Pack 2	Internet Explorer 9
Windows Server 2008 for x64-based Systems Service Pack 2	Internet Explorer 9
Windows 7 for 32-bit Systems Service Pack 1	Internet Explorer 9
Windows 7 for x64-based Systems Service Pack 1	Internet Explorer 9
Windows Server 2008 R2 for x64-based Systems Service Pack 1	Internet Explorer 9
Internet Explorer 10
Windows 7 for 32-bit Systems Service Pack 1	Internet Explorer 10
Windows 7 for x64-based Systems Service Pack 1	Internet Explorer 10
Windows Server 2008 R2 for x64-based Systems Service Pack 1	Internet Explorer 10
Windows 8 for 32-bit Systems	Internet Explorer 10
Windows 8 for x64-based Systems	Internet Explorer 10
Windows Server 2012	Internet Explorer 10
Windows RT	Internet Explorer 10
Internet Explorer 11
Windows 7 for 32-bit Systems Service Pack 1	Internet Explorer 11
Windows 7 for x64-based Systems Service Pack 1	Internet Explorer 11
Windows Server 2008 R2 for x64-based Systems Service Pack 1	Internet Explorer 11
Windows 8.1 for 32-bit Systems	Internet Explorer 11
WIndows 8.1 for x64-based Systems	Internet Explorer 11
Windows Server 2012 R2	Internet Explorer 11
Windows RT 8.1	Internet Explorer 11

 

 

▷ 보안대책

 

    1. MS의 보안 업데이트 발표 전까지 다른 인터넷 브라우저 사용을 권고

        (Mozilla Firefox, Safari, Google Chrome 등)

        ※ Windows XP 사용자는 향후에도 보안 업데이트가 제공되지 않으므로 보안 업데이트가 제공되는 다른 제품을 사용할 것을 강력히 권고함

 

    2. 취약점에 의한 피해를 줄이기 위하여 사용자는 다음과 같은 사항을 준수

        - 신뢰되지 않는 웹 사이트의 방문 자제

        - 사용하고 있는 백신 프로그램의 최신 업데이트를 유지하고 실시간 감시기능을 활성화

        - 출처가 불분명한 이메일의 링크 클릭하거나 첨부파일 열어보기 자제

   

    3. EMET 사용, Internet Explorer의 보안 설정 수정, VGX.DLL 비활성화, 향상된 보호모드 (Enhanced Protected Mode) 설정

        (인터넷 익스플로어 11 버전에 해당)

        - 위 4가지 방법 중 하나의 방법을 적용하여 취약점에 대한 위험을 경감

        ※ EMET(Enhanced Mitigation Experience Toolkit) : MS社에서 제공하는 유틸리티로 소프트웨어의 취약점이 악용되지 못하도록 하는 기능을 제공

 

 

▷ EMET(Enhanced Mitigation Experience Toolkit) 사용 방법

 

    다운로드 : http://technet.microsoft.com/ko-kr/security/jj653751

 

 

↓↓    프로세스 이상 감지 시 알람 발생

 

 

 

▷ Internet Explorer의 보안 설정 수정

 

    Internet Explorer 메뉴 중 도구 > 인터넷 옵션 > 보안 탭에서 '인터넷'과 '로컬인트라넷'의 보안수준을 높음으로 수정하거나

    '사용자 지정수준'에서 Active 스크립팅 사용 안 함 으로 변경

 

 

 

 

▷ VGX.DLL 비활성화

    - 해당 취약점과 연관된 모듈인 VGX.DLL을 비활성화 처리

    - 시작 > 실행 클릭 또는 윈도우 + R 키를 눌러 나온 실행창에서 "%SystemRoot%\System32\regsvr32.exe" -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll"을 입력 후 확인(따옴표 포함)

 

 

    - 향후 윈도우 보안 업데이트 제공 시 해당 모듈에 대한 활성화 처리가 필요함

        (시작 > 실행 클릭 또는 윈도우 + R 키를 눌러 나온 실행창에서 "%SystemRoot%\System32\regsvr32.exe" "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll"을 입력 후 확인(따옴표 포함))

 

 

▷ 향상된 보호모드 (Enhanced Protected Mode) 설정 (IE 11)

    - 인터넷 옵션 > 고급 탭 > '향상된 보호 모드 사용'에 체크 후 확인