꿈을꾸는 파랑새

오늘은 모든 윈도우에 영향을 받는 보안 패치를 하지 않은 RCE 결함 2개 취약점이 발견되었다고 합니다. 해당 취약점은 이번 달에 보안 패치를 한 윈도우 에서 새로운 보안 취약점이 발견되었다는 소식입니다. Microsoft는 해커가 대상 컴퓨터를 원격에서 완전히 제어할 수 있는 패치 되지 않은 2개의 패치가 없는 제로 데이 취약점을 수십억 명인 Windows 사용자에게 경고하는 새로운 보안 권고를 발표했습니다. Microsoft(마이크로소프트)에 따르면 패치 되지 않은 두 결함은 제한적인 표적 공격에 사용되며 Windows 10, Windows 8.1, Windows Server 2008, Windows 2012, Windows 2016, Windows 2019, Windows 7을 포함한 지원되는 모든 Windows 운영 체제 버전에 영향을 미칩니다. 참고로 윈도우 7은 2020년 1월 14일에 지원을 종료했습니다.
두 취약점 모두 타사 소프트웨어로 열었을 때 콘텐츠를 구문 분석할 뿐만 아니라 Windows 탐색기에서 파일의 컨텐츠를 미리 보기 창 또는 세부 사항에 표시하는 글꼴 구문 분석 소프트웨어인 Windows Adobe Type Manager Library에서 발생합니다. 여기서 사용자가 열지 않고도 창을 열 수 있는 취약점입니다.
Adobe Type Manager 라이브러리가 특수하게 제작된 다중 마스터 글꼴 Adobe Type 1 PostScript 형식을 부적절하게 처리할 때 결함이 Microsoft Windows에 존재하며 원격 공격자가 사용자가 특수하게 열도록 유도하여 대상 시스템에서 임의의 악성 코드를 실행할 수 있으며 악의적으로 제작된 문서 또는 Windows 미리 보기 창에서 볼 수 있습니다.
지원되는 버전의 Windows 10을 실행하는 시스템은 성공적인 공격은 제한된 권한과 기능으로 AppContainer 샌드 박스 컨텍스트 내에서만 코드를 실행할 수 있습니다. 라고 Microsoft는 발표했습니다. 현재로서는 특수하게 조작된 악의적인 OTF 글꼴이 포함된 웹 페이지를 방문하도록 사용자를 설득하여 결함이 웹 브라우저를 통해 원격에서 트리거 될 수 있는지 확실하지 않지만, 공격자가 이 취약점을 악용할 수 있는 다른 여러 가지 방법이 있습니다. WebDAV (Web Distributed Authoring and Versioning) 클라이언트 서비스를 통해서 사용도 가능합니다. 일단 임시로 해결 방법은 다음과 같습니다.

마이크로소프트 RCE 결함 2개 취약점 임시 해결 방법

미리 보기 설정 해지미리 보기 설정 해지

1. Windows 탐색기에서 미리 보기 창 및 세부 정보 창 비활성화
모든 Windows 사용자는 기회주의적 공격에 의해 해킹당할 위험을 줄이려고 Windows 탐색기에서 미리 보기 창 및 세부 정보 창 기능을 비활성화하는 것이 좋습니다.
미리 보기 창 및 세부 정보 창 기능을 비활성화하려면 :
Windows 탐색기를 열고 구성을 클릭 한 다음 레이아웃을 클릭하십시오.
세부 정보 창과 미리 보기 창 메뉴 옵션을 모두 지워주면 됩니다.
구성을 클릭 한 다음 폴더 및 검색 옵션을 클릭합니다.
보기 탭을 클릭합니다. 여기서 미리 보기 창에서 미리 보기 처리기 표시, 미리 보이기 창에 미리 보기 처리하기를 해제합니다.
변경 사항을 적용하려면 열려 있는 모든 Windows 탐색기 닫으시면 됩니다.
해당 해결 방법으로 말미암아 Windows 탐색기에서 악성 파일을 볼 수는 없지만, 합법적인 타사 소프트웨어가 취약한 글꼴 구문 분석 라이브러리를 올리는 것을 제한하지는 못합니다.

WebClient 서비스 정지WebClient 서비스 정지

2. 웹 클라이언트 서비스 비활성화
WebDAV 클라이언트 서비스를 통한 사이버 공격을 방지하기 위해 Windows WebClient 서비스를 비활성화하는 것이 좋습니다.
시작->실행을 차례로 클릭하거나 키보드에서 Windows 키와 R를 누르고 Services.msc를 입력 한 다음 확인을 클릭합니다.
WebClient 서비스를 마우스 오른쪽 단추로 클릭하고 특성을 선택합니다.
시작 유형을 사용 안 함으로 변경해야 합니다. 서비스가 실행 중이면 중지를 합니다.
확인을 클릭하고 관리 응용 프로그램을 종료하면 됩니다.
해당 대안을 적용하고 이 취약점을 성공적으로 악용 한 원격 공격자는 시스템이 대상 사용자의 컴퓨터 나 LAN에 있는 프로그램을 실행할 수 있지만, 여전히 임의의 열기 전에 확인 메시지가 표시됩니다. 마이크로 소프트는 경고했습니다.

레지스터리 DisableATMFD 변경레지스터리 DisableATMFD 변경

3.ATMFD.DLL 이름 바꾸기 또는 비활성화
Microsoft는 사용자가 내장 글꼴 기술을 일시적으로 비활성화하기 위해 ATMFD.dll (Adobe Type Manager Font Driver) 파일의 이름을 바꾸어 특정 타사 앱의 작동을 중지하여 달라고 요구하고 있습니다.
관리 명령 프롬프터에서 다음 명령을 입력하십시오.
32비트 시스템의 경우 :
cd "%windir%\system32"
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F)
rename atmfd.dll x-atmfd.dll
64비트 시스템의 경우 :
cd "%windir%\system32"
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F)
rename atmfd.dll x-atmfd.dll
cd "%windir%\syswow64"
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F)
rename atmfd.dll x-atmfd.dll
아니면 윈도우키+R를 눌러서 regedit를 입력을 해줍니다. 그리고 나서 레지스터리 에 다음과 같이 이동을 합니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
그리고 새로 만들기 Dword(32비트)를 선택을 해줍니다. 그리고 나서 이름을 DisableATMFD 이름으로 변경을 하고 값을 0으로 변경을 해줍니다. 그리고 레지스터리를 닫아주면 됩니다. 일단 이런 방법을 사용해도 되고 마이크로소프트에서 기술지원을 문서를 확인하시면 될 것입니다.

반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band