인포섹, Internet Explorer JView Profiler 보안패치 결함 발견
이번에 발견한 보안패치 결함은 7월 13일 MS에서 발표한 MS Internet Explorer(이하 IE) JView Profiler 보안취약점 (MS05-037,KB903235)에 대한 보안패치 결함이며, 과거 2003년 7월 16일에 알려진 RPC 보안취약점(MS03-026) 결함에 이어 두번째이다.
인포섹 CERT는 IE JView Profiler보안패치를 적용한 시스템을 대상으로 공격 프로그램인 Exploit Code로 점검한 결과, 보안패치 적용여부와 상관없이 윈도우 2000, XP, 2003 시스템 부하가 증가되어 사용자가 정상적으로 컴퓨터를 사용할 수 없게 되는 것을 확인하였다. 이는 발표된 IE JView Profiler보안패치를 적용한 시스템이 여전히 보안 취약점에 노출되어 있다는 것을 의미한다.
이와 같은 보안패치 결함으로 인하여 “보안패치가 적용된 PC는 안심할 수 있다는 일반적인 상식을 무너뜨릴 수 있다.”면서 인포섹은 보안관제 고객사에 설치되어 있는 ISS사의 침입방지시스템(Proventia제품군)에서 탐지 및 방어를 할 수 있도록 Signature업데이트를 하였다.
참고로 이번 IE JView Profiler보안취약점은 MS가 지난 7월13일 모든 윈도 시스템에서 취약점이 존재한다며 최고 경고 수준인 "심각(critical)"단계의 주의보를 내리면서 발표되었다. 이러한 취약점을 막는 보안패치에 결함이 발견되었다는 것은 MS의 잇따라 발견된 운영체제의 치명적인 보안 결함뿐만 아니라 결함을 고치는 패치에도 문제가 있을 수 있다는 것을 의미하므로 MS의 기술력에 대한 신뢰성에 커다란 악영향을 줄 것으로 예상된다.
이번 보안패치의 결함을 발견한 인포섹의 CERT는 크게 4개팀 약60명으로 구성되어 SK그룹사, 통신업체, IDC센터등에 원격 및 파견관제 서비스를 수행하고 있다. 관제시스템운영, 침해사고대응 및 자체 보안지식DB구축을 통해 보안취약성을 연구하고 매주 보안권고문을 발표하는 등 지속적인 기술력 향상에 최선을 다하고 있다.
테스트과정
MS사에서 7월13일 패치로 발표한 "JView 프로파일러의 취약점으로 인한 원격 코드 실행 문제점(903235)”에 대해서 인포섹/CERT에서 검증 테스트를 아래와 같이 수행하였으며, 검증 테스트 결과 아래와 같은 문제점이 발생했다.
[테스트 1]
실험환경 : 한글/영문 Windows XP Professional SP2, Internet Explorer 6.0 (패치적용), Exploit Code가 포함된 웹 서버 접속시도
실험결과 : 주기적으로 CPU 및 메모리 사용률의 증가, 감소 반복현상 발생
[테스트 2]
실험환경 : 한글 Windows 2000 Professional SP4, Internet Exlplorer 6.0 (패치 적용), Exploit Code가 포함된 웹 서버 접속시도
실험결과 : 주기적으로 CPU 및 메모리 사용률의 증가, 감소 반복현상 발생
[테스트 3]
실험환경 :한글 Windows 2003 Server, Internet Explorer 6.0 (패치적용), Exploit Code가 포함된 웹 서버 접속시도
실험결과 : CPU 사용률100% 유지, 주기적인 메모리 증가, 감소 반복현상 발생
[침입방지시스템 탐지 및 방어 Signature]
- HTML_IE_Javaprxy_Heap_Corruption
- DHMTL_Object_Overflow
* MS패치(MS05-37) Site: http://www.microsoft.com/korea/technet/security/bulletin/MS05-037.mspx
* JView Profiler : JView 프로파일러는 MSJVM(Microsoft Java Virtual Machine)에 대한 디버거 인터페이스를 말한다.
웹사이트: http://www.skinfosec.co.kr
연락처
박영주 02-2104-5049
