마이크로소프트, 제로데이 취약점(CVE-2019-1367) 긴급 업데이트 발행해

Microsoft released an out-of-band patch to fix Zero-day flaw exploited in the wild

마이크로소프트가 실제 공격에서 악용되고 있는 인터넷 익스플로러 제로데이 취약점을 패치하는 긴급 패치를 발행했습니다.

CVE-2019-1367로 등록된 이 취약점은 메모리 변형 취약점으로 인터넷 익스플로러의 스크립팅 엔진에 존재하며 메모리 내 오브젝트가 처리되는 방식에 영향을 미칩니다.

이 취약점은 메모리 내 오브젝트를 처리하는 인터넷 익스플로러의 스크립팅 엔진에 원격 코드 실행을 수행할 수 있는 취약점입니다. 

이 취약점을 악용하면 공격자가 현재 사용자의 컨텍스트에서 임의의 코드를 실행할 수 있도록 메모리를 변형시킬 수 있습니다.

이 취약점을 성공적으로 악용하면 공격자는 현재 사용자와 동일한 권한을 갖습니다. 

만약 사용자가 관리자 권한으로 로그인한 상태라면 공격자는 이 취약점을 악용해 취약한 시스템을 제어할 수 있습니다. 

이를 통해 공격자는 악성 프로그램을 설치하고, 사용자의 데이터를 열람, 수정, 삭제하거나, 새로운 계정을 생성할 수도 있습니다.

공격자가 이 취약점을 악용하기 위해 인터넷 익스플로러에 사용자가 방문했을 때 해당 취약점을 촉발시키도록 특수 제작된 웹사이트를 호스팅해야 합니다. 

따라서 공격자는 피해자가 악성 웹사이트에 방문하도록 해당 링크를 악성 이메일에 HTML 파일, PDF 파일, 마이크로소프트 오피스 문서 등으로 첨부파일에 포함하여 전송합니다.

이 취약점은 구글의 위협 분석 그룹(TAG)의 Clément Lecigne 연구원이 제보했습니다. 

올해 초, Lecigne는 실제 공격에 악용된 제로데이 취약점인 구글 크롬의 use-after-free 취약점(CVE-2019-5786), 마이크로소프트 윈도우의 권한 상승 취약점(CVE-2019-0808)을 제보했습니다. 

Lecigne과 구글 TAG는 해당 익스플로잇에 대한 기술적 세부 정보는 공개하지 않았습니다.

마이크로소프트는 32비트 및 64비트 시스템에 대한 임시 해결책인 JScript.dll 파일에 접근을 제한할 것을 제안했습니다. 

관리자는 명령 프롬프트를 통해 이 임시 해결책을 수행할 수 있습니다. 

하지만, 마이크로소프트는 이 방법은 원복할 수 있기 때문에 임시 해결책으로만 사용하라고 경고했습니다.

※ "JScript.dll" 접근 제한 방법

32-bit 시스템

takeown /f %windir%\system32\jscript.dll

cacls %windir%\system32\jscript.dll /E /P everyone:N

64-bit 시스템 

takeown /f %windir%\syswow64\jscript.dll

cacls %windir%\syswow64\jscript.dll /E /P everyone:N

takeown /f %windir%\system32\jscript.dll

cacls %windir%\system32\jscript.dll /E /P everyone:N

※ "JScript.dll" 접근 제한 설정 원복 방법

32-bit 시스템

cacls %windir%\system32\jscript.dll /E /R everyone    

64-bit 시스템 

cacls %windir%\system32\jscript.dll /E /R everyone    

cacls %windir%\syswow64\jscript.dll /E /R everyone

▶ 출처: CVE-2019-1367 | Scripting Engine Memory Corruption Vulnerability

출처:

https://securityaffairs.co/wordpress/91665/hacking/microsoft-zero-day-patch.html