작성자 : 김태훈 책임컨설턴트
A3AID-0604
A3 Security Consulting Security Alert
MS Windows Service ACLs(Access Control List) 로컬 권한 상승 취약점 분석
권고문 작성 일: 2006. 02. 14
취약점 발표 날: 2006. 02. 06
위험 등급: 상
벤더: Microsoft
대상 시스템:
MS HTML HELP WORKSHOP 4.74.8702.0
취약점 개요:
2006년 2월 6일, Microsoft HTML HELP WORKSHOP 프로그램에서 HTML HELP 프로젝트 파일(*.hhp )을 처리시 스택 버퍼 오버플로우 취약점이 존재하는 것으로 확인되었다. 이 취약점으로 악성 쉘 코드 실행이 가능하며 트로이 목마의 설치 및 원격 연결이 가능한 것으로 확인되었다. 0-day 취약점으로MS에서 HOT-FIX를 제공하기 전에 웹 사이트 업로드 및 메일 첨부 파일 형식으로 악성 프로젝트 파일(*.hhp)이 전파될 수 있으며, 현재 권고안을 작성하는 2월 13일까지 상기 취약점에 대한 패치가 나오지 않은 상태로 알려지지 않은 프로젝트 파일(*.hhp)에 대한 많은 주의가 요구된다.
취약점 세부분석:
(현재 에이쓰리시큐리티컨설팅에게서 서비스를 받으시는 고객에만 한정적으로 자료 제공)
위험 분석:
상기 취약점을 이용한 실제 동작하는 공격 코드가 이미 공개된 상태이므로, 이를 응용한
많은 해킹 피해가 예상된다. 신뢰할 수 없는 웹 사이트 페이지 및 게시판에 업로드 된 확인되지 않은 HTML HELP 프로젝트 파일 그리고 메일 첨부 파일 형태로 배포되고 있기 때문에 확인되지 않은 HTML HELP 프로젝트 파일은 열람해서는 안 된다.
대응 방안:
본 취약점에 대한 MS에서의 HOT-FIX는 발표되지 않았으며, 대부분의Anti-Virus 업체에서도 패턴 업데이트가 이루어지지 않았으므로 다음과 같은 임시 대응책을 사용하길 권고한다.
임시 대응 책으로 MS HTML HELP WORKSHOP 응용 프로그램은 운영체제 기본 프로그램이 아니기 때문에 MS에서 HOT-FIX를 발표하기 전까지 HTML HELP 프로젝트 파일(*.hhp)에 대한 기본 연결 프로그램을 해제하고 MS HTML HELP WORKSHOP 응용프로그램이 필요하지 않을 경우에는 제거하길 바란다.
Copyright (c) 1998-2006 A3 Security Consulting., LTD
Disclaimer
※ 현재 ㈜에이쓰리시큐리티컨설팅에서 테스트 및 분석 중에 있으며, 이 문서는 계속 업데이트될 것입니다. 본 문서는 보안취약점으로 인한 피해를 최소화하는 데 도움이 되고자 작성되었으나, 본 문서에 포함된 대응방안의 유효성이나 기타 예상치 못한 시스템의 오작동 발생에 대하여서는 ㈜에이쓰리시큐리티컨설팅에서는 일체의 책임을 지지 아니합니다.
A3AID-0604
A3 Security Consulting Security Alert
MS Windows Service ACLs(Access Control List) 로컬 권한 상승 취약점 분석
권고문 작성 일: 2006. 02. 14
취약점 발표 날: 2006. 02. 06
위험 등급: 상
벤더: Microsoft
대상 시스템:
MS HTML HELP WORKSHOP 4.74.8702.0
취약점 개요:
2006년 2월 6일, Microsoft HTML HELP WORKSHOP 프로그램에서 HTML HELP 프로젝트 파일(*.hhp )을 처리시 스택 버퍼 오버플로우 취약점이 존재하는 것으로 확인되었다. 이 취약점으로 악성 쉘 코드 실행이 가능하며 트로이 목마의 설치 및 원격 연결이 가능한 것으로 확인되었다. 0-day 취약점으로MS에서 HOT-FIX를 제공하기 전에 웹 사이트 업로드 및 메일 첨부 파일 형식으로 악성 프로젝트 파일(*.hhp)이 전파될 수 있으며, 현재 권고안을 작성하는 2월 13일까지 상기 취약점에 대한 패치가 나오지 않은 상태로 알려지지 않은 프로젝트 파일(*.hhp)에 대한 많은 주의가 요구된다.
취약점 세부분석:
(현재 에이쓰리시큐리티컨설팅에게서 서비스를 받으시는 고객에만 한정적으로 자료 제공)
위험 분석:
상기 취약점을 이용한 실제 동작하는 공격 코드가 이미 공개된 상태이므로, 이를 응용한
많은 해킹 피해가 예상된다. 신뢰할 수 없는 웹 사이트 페이지 및 게시판에 업로드 된 확인되지 않은 HTML HELP 프로젝트 파일 그리고 메일 첨부 파일 형태로 배포되고 있기 때문에 확인되지 않은 HTML HELP 프로젝트 파일은 열람해서는 안 된다.
대응 방안:
본 취약점에 대한 MS에서의 HOT-FIX는 발표되지 않았으며, 대부분의Anti-Virus 업체에서도 패턴 업데이트가 이루어지지 않았으므로 다음과 같은 임시 대응책을 사용하길 권고한다.
임시 대응 책으로 MS HTML HELP WORKSHOP 응용 프로그램은 운영체제 기본 프로그램이 아니기 때문에 MS에서 HOT-FIX를 발표하기 전까지 HTML HELP 프로젝트 파일(*.hhp)에 대한 기본 연결 프로그램을 해제하고 MS HTML HELP WORKSHOP 응용프로그램이 필요하지 않을 경우에는 제거하길 바란다.
Copyright (c) 1998-2006 A3 Security Consulting., LTD
Disclaimer
※ 현재 ㈜에이쓰리시큐리티컨설팅에서 테스트 및 분석 중에 있으며, 이 문서는 계속 업데이트될 것입니다. 본 문서는 보안취약점으로 인한 피해를 최소화하는 데 도움이 되고자 작성되었으나, 본 문서에 포함된 대응방안의 유효성이나 기타 예상치 못한 시스템의 오작동 발생에 대하여서는 ㈜에이쓰리시큐리티컨설팅에서는 일체의 책임을 지지 아니합니다.
