오픈타입 폰트 드라이버 취약점 (CVE-2015-2426) 주의!
OpenType Font Driver Vulnerability - CVE-2015-2426
Windows Adobe Type Manager Library가 특별히 제조된 오픈타입 폰트를 적절하지 않은 방식으로 처리할 경우, 원격 코드 실행 취약점이 MS 윈도우에서 발생합니다. 이 취약점을 성공적으로 악용한 공격자는 감염된 시스템의 전체 제어 권한을 가질 수 있습니다. 공격자는 이후 추가로 임의의 프로그램을 설치하거나, 데이터를 변경 및 삭제할 수 있으며 최고 권한을 가진 사용자 계정을 생성할 수도 있습니다.
공격자가 해당 취약점을 악용할 수 있는 방법이 몇가지 존재합니다. 사용자에게 특별히 만들어진 문서를 클릭하게 하거나, 오픈타입 폰트가 내장된 웹페이지를 방문하도록 유도하는 것입니다. MS가 긴급으로 진행한 이 업데이트(MS15-078)는 Windows Adobe Type Manager Library가 오픈 타입 폰트를 처리하는 방식을 바로 잡음으로써 취약점을 수정하게 됩니다.
해당 보안 권고가 발행된 이후, MS 측은 해당 취약점이 대중에 공개 되었음을 알 수 있는 정보를 입수했으나, 실제로 사용자들을 공격하는데 해당 취약점이 사용되었다는 증거는 찾지 못하였습니다. 연구 결과, 이 익스플로잇 코드는 공격자가 지속적으로 취약점을 악용할 수 있도록 생성할 수 있었습니다.
해결책
ATMFD.DLL의 이름 변경
※ 32-bit 시스템
1. 관리자 명령 프롬프트에서 아래의 명령어를 실행합니다.
윈도우 8 및 이후 버전 OS를 위한 선택적 절차 (ATMFD 비활성화)
레지스트리 에디터를 잘못 사용할 경우 OS를 재설치 해야 할 정도의 심각한 문제가 발생할 수 있습니다. MS는 레지스트리 에디터의 잘못된 사용으로 인해 발생한 문제에 대해 책임을 지지 않습니다. 따라서 이점을 숙지한 상태에서 레지스트리 데이터를 사용해야 합니다. 레지스트리를 수정하는 방법은 레지스트리 에디터 (Regedit.exe)의 도움말 내 'Changing Keys And Values' 부분을 참고하거나, Regedt32.exe의 'Add Delete Information in the Registry', 'Edit Registry Data'를 참고해주시기 바랍니다.
방법 1 (시스템 레지스트리를 수동으로 설정)
1. regedit.exe 를 관리자 권한으로 실행합니다.
2. 레지스트리 에디터에서 아래의 서브키로 이동하거나 (생성한 후) DWORD 값을 0으로 설정합니다.
HKLM\Software\Microsoft\Windows
NT\CurrentVersion\Windows\DisableATMFD, DWORD = 0
3. 레지스트리 에디터를 종료하고 시스템을 재시작합니다.
방법 2 (배치 스크립트 사용)
1. ATMFD-disable.reg 라는 이름의 TXT 파일을 생성한 후 아래의 내용을 저장합니다.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"DisableATMFD"=dword:00000000
2. regedit.exe를 실행합니다.
3. 레지스트리 에디터에서 File 메뉴 > Import를 클릭합니다.
4. 이전 단계에서 생성한 ATMFD-disable.reg 파일을 찾아 선택합니다. (만약 해당 파일이 리스트에 없을 경우, 이 파일이 자동으로 .txt 파일 확장자가 주어진 것이 아닌지 확인하거나 대화창의 파일 확장자 파라미터를 All Files로 변경합니다.)
5. Open -> OK를 클릭하여 레지스트리 에디터를 종료합니다.
참고:
https://technet.microsoft.com/en-us/library/security/ms15-078
[해외보안동향] 4개의 IE 모바일 제로데이 취약점 발견 (0) | 2015.07.24 |
---|---|
ipTime 공유기 펌웨어 최신버전으로 업그레이드 필요! (0) | 2015.07.23 |
[해외보안동향] TOTOLINK 라우터에서 백도어 발견! (0) | 2015.07.20 |
[해외보안동향] 비트코인 클라우드 마이닝 서비스 해킹, 사용자 데이터베이스 1 비트코인에 판매돼 (0) | 2015.07.14 |
Adobe Flash Player 취약점 (CVE-2015-5122, CVE-2015-5123) 추가 공개! (0) | 2015.07.13 |
댓글 영역