윈스(대표 김대연)는 마이크로소프트 인터넷 익스플로러에 존재하는 원격 코드 실행 취약점을 악용한 공격이 우려된다며 기업과 기관의 보안 관리자 및 사용자의 각별한 주의가 필요하다고 22일 권고했다.
이 취약점은 지난해 12월, 윈스 침해사고분석팀에서 발견해 연구를 진행했으며, 2015년 2월 마이크로소프트 시큐리티 대응 센터(MSRC)에 신고했다.
윈스 침해사고분석팀의 연구 결과, 인터넷 익스플로러 10, 11버전을 대상으로 윈도우 7 및 윈도우 8.1에서 보안기능인 ASLR, DEP, CFG를 우회하면서 원격 코드 실행을 할 수 있는 취약점을 발견했고 공격자들에 의해 이 취약점이 악용될 가능성이 있다.
윈스 침해사고분석팀은 “이번 취약점이 악용될 경우, 악성코드 유포 및 APT 공격에서 가장 주로 사용되는 드라이브 바이 다운로드 형태의 공격이 가능해 웹페이지에 방문하는 것 만으로도 사용자도 모르게 악성코드가 다운로드 될 수 있다”고 밝혔다.
MS는 15일 이 취약점을 공개하고 7월 15일 긴급 MS15-065(KB3076321)을 발표했다.
윈스 관계자는 “패치를 적용하지 못한 IE 10,11 사용자는 패치를 진행하고, 사용중인 기업 및 기관의 모니터링이 요구된다”며 “윈스의 ‘스나이퍼 APTX’를 이용중인 기업 및 기관은 취약점 탐지 및차단 시그니처를 적용해 대응할 수 있다고 설명했다.
윈스 침해사고대응센터(WSEC) 손동식 센터장은 “최근 커뮤니티를 통해 유포되었던 랜섬웨어(크립토락커)나 해킹팀 유출 사고 역시 드라이브 바이 다운로드 공격에 의해 악성코드가 실행되고 내부 자료 유출의 시작점이 되었다는 것을 감안하면 이 취약점을 이용한 공격이 발생할 경우 국내 역시 심각한 피해가 초래될 수 있다”며 “각 사용자는 최신 패치를 업데이트하고, 보안관리자는 보안 제품에서 차단 시그니처를 적용해 차단 정책을 실행해야 한다”고 말했다.
한편 윈스 서트(WINS CERT)는 사이버 침해사고의 근본원인인 취약점, 악성코드, 해킹, 웜, 스파이웨어, 비정상 트래픽 등을 분석하고 연구하는 역할을 하며, 정보보호 실무경험이 풍부한 전문인력과 다년간의 취약성 정보 분석 노하우를 바탕으로 지속적인 위협 분석 서비스를 제공한다.
윈스 서트의 위협 분석 결과는 ‘시큐어캐스트’와 윈스블로그 (https://wins21.co.kr/blog/blog-sub-01.html?t=31&num=85)를 통해 서비스되고 있으며, ‘스나이퍼 APTX’에 위협탐지 및 차단 시그니처로 탑재되고 있다.
