보안 권고 2286198 - 윈도우 셸 .lnk 취약점

지난 주 윈도우 셸 취약점에 대한 제로데이 공격이 확인됐고 그에 따라 마이크로소프트 보안 권고 2286198이 발표됐습니다. 이에 앞서 미국의 US-CERT는 ICS-ALERT-10-196-01 문서를 통해 USB 악성 코드가 SCADA 시스템을 노리고 있다고 밝혔습니다.

모든 버전의 윈도우가 이번 취약점에 해당이 됩니다. 즉 윈도우 XP, 윈도우 서버 2003, 윈도우 비스타, 윈도우 서버 2008, 윈도우 7에 취약점이 있고 32비트와 64비트 모두 영향을 받습니다. 바로 가기(shortcut) 파일인 .lnk에 들어있는 파라미터를 셸이 해석하는 부분에서 발생하는 문제입니다. 이 취약점을 이용하면 USB 드라이브에 저장된 악성 코드를 실행할 수 있고 다시 모든 USB 드라이브에 악성 코드를 전파할 수 있기 때문에 웜 실행이 가능해집니다.

이미 공격 샘플 격인 개념 증명 코드(proof of concept)가 나왔고 이를 활용한 악성 코드 역시 발견되고 있습니다. 마이크로소프트 맬웨어 대응 센터(MMPC) 블로그에 의하면 이미 MMPC는 Stuxnet이라는 악성 코드에 대해 날짜별, 국가별 추세를 추적하고 있습니다. 이 취약점은 앞으로도 수많은 루트킷과 봇에서 악용될 가능성이 커 보입니다.

마이크로소프트는 분석을 마치는 대로 패치의 필요성과 시급성을 판단해 앞으로의 일정을 정할 예정입니다. 현재 취할 수 있는 대안(workaround)은 바로 가기 아이콘이 아예 나타나지 않게 설정하는 것인데 이 경우 아이콘이 나타나지 않아 사용에 불편이 따르게 됩니다. 보안 권고 2286198의 workaround 부분을 참고하여 IconHandler 레지스트리의 기본값을 삭제하고 컴퓨터를 재시작하면 됩니다. WebClient 서비스가 시작되지 않게 하는 방법도 있습니다. 조만간 KB 문서를 통해 Fix It 파일이 제공될 예정입니다.