본문 바로가기

Security Indicator

wmf 이미지 공격을 통한 대규모 피해 우려

안녕하세요. 바다란입니다.

 

 

wmf 관련된 IM웜 (sdbot ) 및 이메일 전파 웜 , 악성코드 설치 유형이 급격하게 증가하고 있습니다. 12월 말을 기점으로 대폭 증가된 형태로 발견이 되고 있으며 위험성이 높습니다. 현재의 악성코드 루틴과 결합시에 국내 사용자들의  대규모 피해가 우려 됩니다. 공격코드 자체가 그리 어렵지 않다보니 상당히 많은 변형도 출현이 가능하고 피해 노출 방법도 다양한 방식으로 가능하므로 향후 변화가 많을 것으로 판단됩니다.

 

해외 최대 보안관련 사이트인 sans.org 에서는 wmf 취약성을 이용한 웜 및 바이러스에 대해 투표도 진행하고 있습니다. 그냥 사라질 것인가? 아님 2006년을 빛나게(?)할 취약성인가?..하는.. 투표입니다. ㅠ,ㅠ

이슈가 된 메신저 전송 jpg 파일에 대해서 직접 분석을 해본 결과 실제 jpg 파일은 아니며 HTML 컨텐츠 입니다. 내부 소스는 아래와 같은 링크 코드가 존재합니다. 

 

-----------------------------------
<body>
<P ALIGN=center><IFRAME SRC="foto.wmf" WIDTH=0 HEIGHT=0></IFRAME></P>
</body>
-----------------------------------

여기에서 WMF 파일이 악성코드를 실행 시키고 외부 사이트에서 다운로드 하는 역할을 맡고 있습니다.
또한 제가 앞서 말씀드린 대로 이미지 파일 및 팩스 미리 보기 기능과 연관된 DLL 이 문제가 있는 관계로 WMF 파일에 마우스만 올려 두어도 미리보기 기능이 동작하여 바이러스가 감염이 됩니다.
즉 웹사이트 방문 만으로도 감염이 되며 해당 악성코드의 업로드 시에 대량의 피해자가 발생 할 수 있을 것 같습니다.

 

추가적으로 jpg, gif 등 모든 이미지 파일 포맷으로 이름 위장이 가능하며 윈도우 시스템의 특성상 해당 이미지를 보기 위한 최적 DLL을 자동으로 찾는 과정에서문제가 발생할 것으로 예상이 됩니다. 그러므로  우선적으로 wmf 파일의 업로드를 금지하고 내부에 wmf 파일 링크를 지는 URL을 탐지하며 장기적으로는 파일 헤더 검색을 통한 검출루틴이 필요한 부분으로 판단이 됩니다.

제가 판단하기에는 현재의 악성코드를 통한 정보 유출 이슈와 결합시 국내에 폭발적인 피해가 발생 할 것 같습니다.


서비스 제공자 단위 대책:

1. WMF 파일의 업로드 금지 설정

2. WMF 파일을  내부 컨텐츠로 포함시킨 ( Iframe , 링크 등 ) 링크의 검출 및 제거

3. 파일 헤더 검사를 통한 WMF 파일 검출 ( 좀 시일이 걸릴듯 )

 

 

클라이언트 단위 대책:

*.  DLL 등록해제를 통한 임시 해결 방안
  - Microsoft는 보안권고에서 다음과 같이 임시 해결방안을 제시함
    * Windows XP SP1, XP SP2, Server 2003, Server 2003 SP1 사용자의 경우, Windows 사진 및      팩스 뷰어(shimgvw.dll)의 등록을 해제한다.
     step) 윈도우 시작버튼 클릭 -> 실행(R) 클릭
               regsvr32 -u %windir%\system32\shimgvw.dll 입력하고 확인 버튼 클릭
               ※ 이 작업은 이미지 파일을 더블클릭해도 Windows 사진 및 팩스 뷰어로 볼 수 없게 만드는 것임 또한 미리보기 기능이 안됩니다.

 - 향후 마이크로소프트의 패치버전을 설치하면 원래 상태로 되돌릴 수 있다.
      step) 윈도우 시작버튼 클릭 -> 실행(R) 클릭
               regsvr32 %windir%\system32\shimgvw.dll 입력하고 확인 버튼 클릭

 

 *. 비공식 패치의 설치 ( 그다지 권고 하지는 않습니다.)

  http://isc.sans.org/diary.php?date=2005-12-31 - 게시물 항목
  http://handlers.sans.org/tliston/wmffix_hexblog13.exe  - Unofficial Hotfix

 

피해가 우려되는 버전은 다음과 같습니다. ( MS의 KB Article 참조)

Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1
Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003 
Microsoft Windows Server 2003 for Itanium-based Systems
Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
Microsoft Windows Server 2003 x64 Edition
Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and Microsoft Windows Millennium Edition (ME)
 

 

관련 정보 사이트:

http://www.certcc.or.kr/intro/notice_read.jsp?NUM=107&menu=1   - 그래픽 렌더링 엔진 취약점

권고 파일
http://www.microsoft.com/technet/security/advisory/912840.mspx
http://www.f-secure.com/weblog/archives/archive-122005.html#00000752
http://isc.sans.org/diary.php?storyid=972