파밍 그리고 보이스피싱의 증가

마이크로소프트사는 총 11개의 패치를 2월 정기보안 업데이트에 포함하여 발표하였다. 이중 위험등급이 긴급(critical)인 패치 6개와 중요(important)인 패치 5개로 나타났다. 2008년 02월에 발표된 패치의 개수(11개)는 2007년 02월의 패치의 개수(12개)와 유사하게 나타나, 2월에 더욱 더 보안취약점에 대한 주의를 기울일 필요가 있다. [표 2-1]은 2008년 02월 발표된 취약점의 목록 및 공격 코드 공개 여부이다.

위험등급	취약점	PoC
중요	Active Directory의 취약점으로 인한 서비스 거부 문제점(946538)	무
중요	Windows TCP/IP의 취약점으로 인한 서비스 거부 문제점(946456)	무
중요	IIS(인터넷 정보 서비스)의 취약점으로 인한 권한 상승 문제점(942831)	무
중요	IIS(인터넷 정보 서비스)의 취약점으로 인한 원격 코드 실행 문제점(942830)	무
긴급	WebDAV Mini-Redirector의 취약점으로 인한 원격 코드 실행 문제점(946026)	유
긴급	OLE 자동화의 취약점으로 인한 원격 코드 실행 문제점(947890)	무
긴급	Microsoft Word의 취약점으로 인한 원격 코드 실행 문제점(947077)	무
긴급	Internet Explorer 누적 보안 업데이트(944533)	무
중요	Microsoft Works 파일 변환기의 취약점으로 인한 원격 코드 실행 문제점(947081)	유
긴급	Microsoft Office Publisher의 취약점으로 인한 원격 코드 실행 문제점(947085)	무
긴급	Microsoft Office의 취약점으로 인한 원격 코드 실행 문제점(947108)	무

[표 2-1] 2008년 02월 마이크로 소프트 정기 보안 패치

발표된 취약점의 일부는 취약점 공격코드가 이미 공개되거나 대부분 코드 실행, 관리자 권한의 획득이 가능한 취약점이기 때문에 반드시 마이크로 소프트에서 제공하는 보안 업데이트를 설치하여 운영체제나 관련 제품의 상태를 항상 최신의 것으로 유지하도록 해야 한다.

Microsoft Windows WebDAV Mini-Redirector Heap Buffer Overflow

Web-based Distributed Authoring and Versioning (WebDAV)는 World Wide Web을 읽고 쓸 수 있는 매체로 만들기 위해 개발된 HTTP 프로토콜의 확장이다. 이 확장을 이용하면 원격 서버 문서의 생성, 변경, 이동할 수 있다. 이를 이용하여 웹 서버를 관리하는데 사용되기도 하며, 공유를 위해 사용하기도 한다. 이러한 WebDAV를 사용하기 위한 클라이언트 프로그램인 Microsoft WebDAV Mini-Redirector이다.

WebDAV로 실행가능한 작업은 다음과 같다.

- 등록정보(메타데이터) 조작:

WebDAV 메소드 PROPFIND 및 PROPPATCH를 사용하여 저작자 및 작성 날짜와 같은 웹 페이지에 대한 정보를 만들고 제거, 쿼리할 수 있다.

- 컬렉션 및 리소스 관리:

WebDAV 메소드 GET, PUT, DELETE 및 MKCOL을 사용하여 문서 세트를 만들고 계층적 구성원 목록(파일 시스템의 디렉토리 목록과 유사)을 검색할 수 있다.

- 잠금:

WebDAV 메소드 LOCK 및 UNLOCK을 사용하여 exclusive 또는 shared 잠금을 사용함으로써 "업데이트 유실"(변경 사항 겹쳐쓰기) 문제를 방지할 수 있다

- 이름 공간 작업:

WebDAV 메소드 COPY 및 MOVE를 사용하여 웹 리소스를 복사 및 이동하도록 서버에게 지시할 수 있다

Windows WebDAV의 드라이버 파일인 mrxdav.sys에서 문제점이 발생한다. 이는 WebDAV resource로부터 resource name 파라메터의 입력값을 체크하지 않아 생기는 문제점이다. WebDAV에서 사용하는 메소드인 "PROPFIND" 메소드를 사용하여 데이터를 요청할 때, 서버에서 "<D:href>/dav/</D:href>" resource name의 데이터를 조작하여 WebDAV 클라이언트인 Mini-Redirector의 메모리를 오염시키게 된다.

Microsoft Office Works File Converter WPS File Field Length Stack Overflow

Microsoft Works 는 개인의 작은 작업 만 아니라 큰 프로젝트를 관리하는데 도움을 주는 소프트웨어이다. 스케쥴 관리, Contact list, 가계부 등 일반적으로 많이 사용되는 일들을 도와준다. 또한 워드프로세스, 스프레트시트, 데이터베이스 등이 포함되어 있다.

Microsoft Works 에서 특수하게 조작된 wps 파일 포맷 해석시에 버퍼 오버플로우가 존재한다. 이 취약점은 Chuck 태그의 Text 구조체중에 길이 값 필드에서 크기를 제대로 체크하지 않아서 발생한다. Microsoft Office, Microsoft Works 또는 Microsoft Works Suite로 특수하게 조작된 Works(.wps) 파일을 열 경우 원격 코드 실행이 허용될 수 있다. 이 취약점을 악용한 공격자는 영향을 받는 시스템을 완전히 제어할 수 있다. 또한 공격자가 프로그램을 설치하거나 데이터를 보고, 변경하거나 삭제하고 모든 사용자 권한이 있는 새 계정을 만들 수도 있다.

 

[그림 2-8] 조작된 Works(.wps)파일 열람시, 계산기 프로그램이 실행된다

해당 취약점을 이용하여 공격자는 웹 또는 메일 등으로 해당 시스템에 임의의 코드를 실행할 수 있다. 최근 오피스 파일의 취약점을 이용하는 트로이목마가 지속적으로 발견되고 있으므로, 출처가 확실치 않은 오피스 파일은 절대로 열어보지 않도록 한다.

파밍, 그리고 보이스 피싱

2007년 비슷한 시기에 금융정보를 노리는 OO은행을 사칭한 파밍 공격이 발견된 이후, 이번에는 범칙금을 대상으로 공공기관 OO법원을 사칭한 파밍 공격이 발견되었다.

파밍 공격은 시스템의 DNS 역할을 하는 호스트 파일을 수정하여 도메인에 대한 IP주소를 변조하는 방식으로, 피해자는 실제 웹 브라우져에 정상적인 웹사이트를 입력하여도 변조된 IP에 접근하도록 유도되어 공격자의 웹사이트에 접속하여 피해를 입게 된다.

이메일의 첨부파일이나 웹페이지 접근을 통해 직접 전달되거나 혹은 특정 프로그램의 번들형태로 설치된 트로이목마에 의해 호스트파일(hosts)이 변조된다. (*은 임의 삭제)

# %system32%\drivers\etc\hosts
89.46.100.36 sl******.*****.go.kr

감염자는 수동으로 hosts 파일을 복구하여 감염에 의한 2차 피해 가능성을 제거하도록 한다. %system32%\drivers\etc\hosts 파일을 텍스트 에디터로 오픈하여 잘 알지 못하는 도메인정보와 의심스러운 IP포함된 라인을 제거하거나 주석처리(#) 한 후 저장한다.

시스템 내의 hosts 파일 위치
%systemroot%\system32\drivers\etc
시스템 내의 hosts 기본값
127.0.0.1 localhost

최근에는 전화로 금융회사뿐만 아니라, 통신회사 등을 사칭해 미납금 지불 명목으로 돈을 가로채는 '보이스 피싱'도 빈번히 발생하고 있으므로, 이메일, 전화에 의한 금융거래 요구시 바로 응대하지 않고, 금융거래 전에 항시 관련 회사의 고객센터에 직접 문의하여 사실관계를 확인한 후 진행하는 습관이 중요하다.


[출처] 안철수연구소 ASEC

Windows 중요 업데이트 꼭하세요!!