2021.09.08일 수요일 악의적으로 작성된 오피스 문서를 활용해서 Windows 시스템을 가로채는 데 사용되는 Internet Explorer에 영향을 미치는 적극적으로 악용되는 제로 데이 결함에 대해 경고를 발표했습니다. 해당 취약점은 CVE-2021-40444이며 공격자는 브라우저 렌더링 엔진을 호스팅하는 Microsoft Office 문서에서 사용하도록 악의적인 ActiveX 컨트롤을 만들 수가 있으며 해당 방법을 통해서 공격자는 사용자가 악성 문서를 열도록 유도하고 시스템에 대해 더 적은 수의 사용자 권한을 갖도록 계정이 구성된 사용자는 관리 사용자 권한으로 작업하는 사용자보다 영향을 덜 받을 수 있습니다.
해당 악성코드가 있는 문서 예를 들어서 파워포인트, 워드, 엑셀 문서를 사용자가 열며 공격하는 방식으로서 원격 코드 실행 결함은 현재 사용이 중지된 Internet Explorer 용 브라우저 엔진인 MSHTML(Trident라고도 함)에 기본을 두고 있으며 마이크로소프트 오피스 에서 내부 웹 콘텐츠를 렌더링하는 데 사용을 합니다.
일단 마이크로소프트에서는 해당 공격을 알고 있으며 마이크로소프트는 마이크로소프트 윈도우에 영향을 미치는 MSHTML의 원격 코드 실행 취약점에 대한 보고를 조사하고 있고 마이크로소프트는 특별히 제작된 마이크로소프트 오피스 문서를 사용하여 해당 취약점을 악용하려는 표적 공격을 인지하고 있고 개인적으로 조만간에 보안 업데이트가 이루어질 것 같습니다.
해당 보안 문제를 해결하려면 임시로 대응하는 방법은 잠재적인 공격을 완화하기 위해 사용자와 조직에 Internet Explorer(인터넷 익스플러워)의 모든 ActiveX 컨트롤을 비활성화를 권장하고 있습니다.
CVE-2021-40444 Microsoft MSHTML Remote Code Execution Vulnerability
레지스트리를 수정하여 임시로 대응할 수가 있으며 이전에 설치된 ActiveX 컨트롤은 계속 실행되지만, 이 취약점이 노출되지는 않습니다.
경고:레지스트리 편집기를 잘못 사용하면 운영 체제를 다시 설치해야 하는 심각한 문제가 발생할 수 있으며레지스트리 편집기를 사용하는 데 따른 위험은 사용자가 감수해야 합니다.
개별 시스템에서 ActiveX 컨트롤을 비활성화하려면 다음과 같은 방법을 사용하시면 됩니다.
모든 영역의 Internet Explorer에서 ActiveX 컨트롤 설치를 비활성화하려면 다음을 텍스트 파일에 붙여 넣고. reg 파일 확장명으로 저장하십시오.
경고 및 주의 사항: 해당 레지스터리 파일을 실행하고 생기는 문제가 발생할 수가 있으니 신중하게 생각을 해야 하면 최악에는 컴퓨터가 작동하지 않을 경우가 있습니다. 그리고 제일 좋은 방법은 보안 업데이트 가 나올 때까지 기다리는 것입니다.즉 실행을 했을경우 각자 컴퓨터 환경에 따라 컴퓨터가 오작동을 할수가 있으니 해당 레지스터리 등록은 신중 하게 하시길 바랍니다.
해당 방법을 통한 영향:윈도우 64비트 및 윈도우 32비트 프로세스의 모든 인터넷 영역에 대해 URLACTION_DOWNLOAD_SIGNED_ACTIVEX(0x1001) 및 URLACTION_DOWNLOAD_UNSIGNED_ACTIVEX(0x1004)가 DISABLED(3)로 설정 새 ActiveX 컨트롤이 설치되지 않습니다. 이전에 설치된 ActiveX 컨트롤은 계속 실행됨
해결 방법을 실행 취소하는 방법
추가된 레지스트리 키를 삭제
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
"1001"=dword:00000003
"1004"=dword:00000003
해당 레지스터리 파일 해쉬값
파일명: 레지스터리 수정.reg
사이즈: 624 Bytes
수정일시:2021-09-09 02:40:44 (+09:00)
접근일시:2021-09-09 02:40:44 (+09:00)
CRC32: d5b199a3
MD5:666e7594b3013a0ab2570144384d69f9
SHA-1:91072aa057eb3581acaa78664df8235153146d22
SHA-256:b067ff06a52d602b34daeb0667e8948132a7c3faaa346cc1dec0f5fa8f9aca1f
SHA-512:eef7ffba1a940c169dc5bf857ed0315a8478d7a95c62f45ecfe578146497055c61714cdbf22079d4e7e3f187ea2918abe05a33010a7034bc9f158295f366c2b4
그리고 Microsoft Defender 바이러스 백신 및 Microsoft Defender for Endpoint는 모두 알려진 취약점에 대한 검색 및 보호 기능을 제공하면 맬웨어 방지 정의를 최신 상태로 유지해야 합니다. 물론 자동 업데이트를 추천합니다. 그리고 업데이트를 관리하는 기업 고객은 탐지 빌드 1.349.22.0 이상을 선택하고 환경 전체에 배포해야 합니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 윈도우 10 60개 취약점 수정 KB5005565 및 KB5005566 누적 업데이트 (0) | 2021.09.16 |
|---|---|
| 구글 드라이브 에서 스팸 차단 하는 방법 (4) | 2021.09.16 |
| 토르 브라우저(Tor Browser) 와 VPN 차이점 (6) | 2021.09.14 |
| 북한 해킹 조직 김수키 에서 만든 악성코드-KISA Mobile Security(2021.07.1) (4) | 2021.09.12 |
| 모질라 파이어폭스 92.0 업데이트 (2) | 2021.09.09 |
| ProtonMail(프로톤메일) 스위스 법원 명령후 IP 주소 기록 (0) | 2021.09.08 |
| 경찰청 폴 안티스파이 3.0 사칭 스미싱 악성코드-폴-안티스파이 3.0(2021.09.05) (4) | 2021.09.07 |
| 구글 크롬 쿠키 및 사이트 데이터 제어 inferior option 대체 (2) | 2021.09.06 |
