[출처: 보안뉴스]

시만텍, 보안패치설치·이메일첨부파일확인시주의당부

[보안뉴스김태형] MS윈도우 OS의새로운중대취약점을이용해미국과유럽내주요조직을공격한사례가보고됨에따라, 윈도우사용자들은패치설치와함께주의가필요하다.

보안전문기업시만텍(www.symantec.co.kr)에의하면, 공격자들은 ‘마이크로소프트윈도우패키지매니저원격코드실행취약점(CVE-2014-4114)’을이용해외부에서 OLE(Object Linking and Embedding: 개체연결삽입) 파일을삽입함으로써공격목표물의컴퓨터에멀웨어를다운로드받아설치하는방식을이용한것으로나타났다.

샌드웜(Sandworm)으로알려진사이버스파이조직은이취약점을이용해일명 ‘블랙에너지(Black Energy)’ 백도어라고도불리는 ‘Backdoor.Lancafdo.A’를목표조직에설치한것으로알려졌다.

이취약점은윈도우비스타서비스팩 2부터윈도 8.1 및윈도서버 2008, 2012에이르기까지모든윈도우버전에영향을미치는것으로보고되었다. 이번취약점은윈도우에서 OLE를처리하는방식과관련된것으로, OLE는한문서의리치데이터를다른문서에삽입하거나, 문서링크를다른문서에삽입할수있는마이크로소프트의기술이다.

OLE는일반적으로로컬에저장된콘텐츠를삽입할때사용되는데, 이번취약점은요청이없어도외부파일을다운로드하고실행할수있게한다.

아이사이트파트너스(iSIGHT Partners)가보고한이번취약점은이미나토(NATO)와여러익명의우크라이나정부단체, 다수의서유럽정부단체, 에너지부문기업들, 유럽통신사, 미국학술단체를타깃으로한소수의사이버스파이공격에이용되어왔다.

시만텍의조사에따르면해당페이로드(Payload)를이용한공격은지난 8월부터진행되어왔으며, 아이사이트는해당공격을지능형지속보안위협(APT, Advanced Persistent Threat)으로보고있다.

이번공격은목표한개인들을대상으로 Trojan.Mdropper라는악성코드가담긴파워포인트파일을첨부한스피어피싱이메일을발송하는형태로이뤄졌다.

파워포인트파일은 URL을포함한두개의 OLE 문서를포함하고있는데, 만약목표로한사용자가파워포인트파일을열면이 URL에접속해 .exe와 .inf로구성된두개의파일이다운로드되면서컴퓨터에멀웨어를설치하게된다. 시만텍의조사에따르면해당멀웨어페이로드가 Backdoor.Lancafdo.A.이다.

일단목표컴퓨터에설치되면, 이백도어는공격자들이다른멀웨어를다운로드및설치할수있게한다. 또한이멀웨어는정보를탈취하는컴포넌트를비롯해스스로업데이트를진행한다.

현재는파워포인트파일이이용되고있지만, 해당취약점의특성을고려하면워드나엑셀과같은다른오피스파일에서도발생가능할것으로예상되고있다.

시만텍은공격자들이원격으로타깃컴퓨터에코드를실행할수있다는점에서이번취약점을심각하게보고있다. 그동안제한적으로이용되어왔지만, 이번에취약점이널리알려짐에따라다른사이버범죄그룹에서이용할가능성이높아졌기때문이다.

시만텍의 SSET(Symantec Security Expert Team)를총괄하는윤광택이사는 “윈도우사용자모두에게영향을미칠수있는중대한사안인만큼기업은물론개인사용자들도주의를요한다. 피해를방지하기위해△MS의보안패치를즉각설치△보안소프트웨어를최신버전으로업데이트△이메일첨부파일확인시주의할필요가있다”고설명했다. [김태형기자(boan@boannews.com)]

취약시스템 : Windows Vista / Windows Server 2008 / Windows 7 / Windows Server 2008 R2 / Windows 8 and Windows 8.1 / Windows Server 2012 and Windows Server 2012 R2 / Windows RT and Windows RT 8.1

해결방안 : 자동업데이트를이용하거나, 아래 URL을참고하여벤더사로부터발표된보안패치를설치한다

영문 : http://technet.microsoft.com/en-us/security/bulletin/MS14-060

한글: http://technet.microsoft.com/ko-kr/security/bulletin/MS14-060