MS Office Access 제품의 신규 취약점으로 인한 피해주의
□ 개요
o 보안 패치가 발표되지 않은 Microsoft Access Snapshot Viewer의 신규 취약점이 출현하여
인터넷이용자가 악의적으로 snapview.ocx ActiveX를 조작한 웹 페이지를 열람할 경우,
이용자 PC내 악성코드가 설치되는 등 피해가 발생할 수 있으므로 인터넷이용자의 주의가 요구됨
※ Microsoft Access Snapshot Viewer : 이해하기 쉬운 형태로 데이터를 구성해주는 Access
보고서 스냅샷을 열람·인쇄·메일 발송하기 위해 사용되는 프로그램으로 MS Office 제품군
전체설치 시 설치되나, 표준설치시 에도 관련파일(*.snp)을 클릭할 경우에도 취약한 ActiveX
파일이 자동으로 설치되어 활성화 됨
o 해당 취약점으로 인한 피해를 예방하기 위해서는 snapview.ocx ActiveX를 실행시키기 위해
사용되는 해당 클래스 아이디를 킬비트시키고 신뢰되지 않은 이메일 혹은 웹 페이지를 열람하지
않도록 주의하여야함
※ 킬비트(kill bit): 인터넷 익스플로러에서 컨트롤을 호출하지 못하도록 레지스트리를
설정함으로써 인터넷 익스플로러에서 ActiveX 컨트롤이 실행되지 않도록 하는 방법임
□ 영향받는 제품
o MS Office 제품군 가운데,
– MS Office Access 2000
– MS Office Access 2002
– MS Office Access 2003
※ snapview.ocx 설치 위치 : WindowsNT,2000일 경우 c:\winnt\system32,
WindowsXP일 경우 c:\Windows\system32
혹은 C:\Program Files\Common Files\Microsoft Shared\Snapshot Viewer\
□ 취약점 설명
o Microsoft Access Snapshot Viewer에서 제공하는 snapview.ocx ActiveX 컨트롤의 특정
함수가 아래와 같은 자동실행 가능한 폴더에 원격에 위치한 파일을 다운로드하여 악성코드가
실행될 수 있음
※ 자동실행 가능한 폴더의 예: 시작프로그램폴더
(C:\Documents and Settings\[계정명]\시작 메뉴\프로그램\시작프로그램)
□ 영향
o snapview.ocx ActiveX 컨트롤을 악용한 스크립트가 포함된 웹 페이지 및 이메일 열람 시
악성코드가 설치되는 등의 피해를 입을 수 있음
□ 해결방안
o 출처가 불분명한 이메일이나 신뢰되지 않은 사이트를 열람하지 않도록 주의하고
백신을 최신 버전으로 업데이트 하여 해당 취약점으로 인한 피해가 발생하지 않도록 예방함
o 해당취약점에 대한 보안패치 발표시, 최신 윈도우 보안업데이트 적용(자동보안업데이트 권장)
o MS에서는 보안패치 발표전 임시 조치방안으로 취약한 ActiveX가 실행되지 않도록 킬비트
설정하는 방법을 권고함[1]
※ 킬비트(kill bit)는 첨부 레지스트리 파일(killbit. reg)을 다운로드 받아 클릭하여 설정할 수 있음
※ 단, 첨부파일로 킬비트를 설정할 경우 해당 ActiveX(snapview.ocx)가
실행되지 않으므로 해당 ActiveX 관련 응용프로그램에 영향을 줄 수 있으며,
추후 해당 취약점에 대한 보안패치적용후에는 별도 복원과정이 필요
□ 기타 문의사항
o 한국정보보호진흥원 인터넷침해사고대응지원센터: 국번없이 118
□ 참고사이트
[1] http://www.microsoft.com/technet/security/advisory/955179.mspx
|