비디오: Windows has a Zero-Day that won’t be patched for WEEKS | March 2020 (십월 2024)
Microsoft는 이전 버전의 Microsoft Windows 및 Office가 이번 주 TIFF 이미지 형식을 처리하는 방식에있어 중요한 제로 데이 취약점을 공개했습니다. 이 결함이 활발하게 악용되고 있지만 회사는 패치가 다음 주 패치 화요일 릴리스에 대한 준비가되지 않을 것이라고 말했다.
이 버그 (CVE-2013-3906)를 통해 공격자는 특수하게 조작 된 TIFF 이미지가있는 파일을 열도록 사용자를 속여 대상 컴퓨터에서 원격으로 코드를 실행할 수 있습니다. 사용자가 공격 파일을 열면 공격자는 해당 사용자와 동일한 권한을 갖습니다. 즉, 사용자에게 관리자 계정이 있으면 공격자가 컴퓨터를 완전히 제어 할 수 있습니다. 사용자에게 관리자 권한이 없으면 공격자는 제한적인 손상 만 야기 할 수 있습니다.
테스트 랩 AV-TEST는 현재 공격에 사용되고있는 이러한 악성 이미지가 포함 된 최소 8 개의 DOCX 문서를 식별했습니다.
영향을받는 소프트웨어
이 취약점은 모든 버전의 Lync 커뮤니케이터 서비스, Windows Vista, Windows Server 2008 및 일부 버전의 Microsoft Office에 존재합니다. 제품군이 설치된 운영 체제에 관계없이 Office 2003 및 2007의 모든 설치가 위험합니다. 마이크로 소프트는 오피스 2010이 윈도우 XP 나 윈도우 서버 2008에 설치된 경우에만 영향을받는다고 밝혔다. 권고에 따르면 현재 활발한 공격을 받고있는 것은 Office 2007 뿐인 것으로 보입니다.
Websense의 보안 연구 책임자 인 Alex Watson은 "Microsoft Office 비즈니스 사용자의 최대 37 %가이 제로 데이 악용에 취약합니다"라고 말했습니다.
이 최신 제로 데이는 이전 버전의 소프트웨어의 취약점으로 인해 조직이 심각한 공격에 노출 될 수있는 방법에 대한 좋은 예입니다. 사용자는 여전히 오래된 Office 2003, Office 2007, Windows XP 및 Windows Server 2003을 실행하지 않아야합니다. 트립 와이어의 보안 연구 및 개발 기술 담당 인 타일러 레 글리 (Tyler Reguly)는“이 소프트웨어를 제거했다면이 0 일은 존재하지 않을 것입니다. 이러한 응용 프로그램의 수명을 고려하면 지금까지 조직과 사용자가 업데이트해야합니다.
야생의 공격
야생에는 공격이 있지만 현재까지는 대부분의 공격이 중동 및 아시아에 집중되어 있음을 기억해야합니다. 마이크로 소프트는 원래 "이 취약점을 악용하려는 표적 공격"이 있다고 밝혔으며 AlienVault, FireEye 및 시만텍의 보안 연구원들은 이미이 취약점을 이용하여 캠페인을 진행하고있는 여러 공격 그룹을 확인했습니다.
파이어 아이 (FireEye)는 블로그에서 5 월에 확인 된 간첩 활동에 초점을 맞춘 캠페인 인 행 아웃 오퍼레이션의 배후에있는이 그룹은 정보 수집 활동을 더욱 발전시키기 위해이 버그를 악용하는 것으로 보인다고 밝혔다. AlienVault Labs의 Jaime Blasco 이사는이 익스플로잇이 파키스탄의 정보 서비스와 군사를 목표로하는 데 사용되고 있다고 말했다. FireEye 연구원이 Arx라는 또 다른 공격 그룹은 Citadel 뱅킹 트로이를 배포하기 위해이 악용을 사용하고 있습니다.
해결 방법 설치
다음 주까지 패치가 준비되지는 않지만 Microsoft는이 문제를 해결하기 위해 임시 해결 방법 인 FixIt을 발표했습니다. 취약한 소프트웨어가있는 경우 FixIt을 즉시 적용해야합니다. Tripwire의 Reguly는 FixIt은 TIFF 이미지에 액세스하는 방법을 비활성화하며 일부 사용자 및 기업에게는 옵션이 아닐 수 있다고 지적했다.
TIFF 형식으로 작업하는 웹 개발자, 그래픽 디자이너 및 마케팅 전문가는이 FixIt으로 업무를 수행하는 데 방해가 될 수 있다고 Reguly는 경고했습니다. 보안 전문가는 고품질 이미지를 많이 사용하는 조직에 FixIt을 배포해야 할 필요성을 정당화하기 어려울 수 있습니다.
레 글리는 "이로 인해 사람들은 새로운 취약점을 예방하거나 업무를 수행하는 어려운 상황에 처하게되었다"고 말했다.
또한 조직은 공격의 실행을 막기 위해 Microsoft의 보안 툴킷 EMET (Enhanced Mitigation Experience Toolkit)를 설치할 수 있다고 Microsoft 보안 대응 센터의 Elia Florio는 블로그 게시물에 썼습니다.
많은 바이러스 백신 및 보안 제품군이 이미이 취약점을 악용하는 악성 파일을 탐지하기 위해 서명을 업데이트 했으므로 보안 소프트웨어도 업데이트해야합니다. 항상 그렇듯이 특별히 요청하지 않은 파일을 열거 나 소스를 모르는 경우 링크를 클릭 할 때는 각별히주의하십시오.
