Microsoft 보안 권고(955179)

Microsoft Access Snapshot Viewer에서 사용하는 ActiveX 컨트롤의 취약점으로 인한 원격 코드 실행 문제점

게시 날짜: 2008년 7월 8일

Microsoft는 Microsoft Access Snapshot Viewer에서 사용하는 ActiveX 컨트롤의 잠재적인 취약점을 이용하여 특정 대상을 목표로 감행되는 활성 공격을 조사하고 있습니다. 공격자는 특수하게 조작된 웹 페이지를 구성하여 이러한 취약점을 악용할 수 있습니다. 사용자가 해당 웹 페이지를 볼 경우 취약점으로 인해 원격 코드 실행이 허용될 수 있습니다. 취약점 악용에 성공한 공격자는 로그온한 사용자와 동일한 권한을 얻을 수 있습니다.

Microsoft Access Snapshot Viewer의 ActiveX 컨트롤은 표준 또는 런타임 버전의 Microsoft Office Access 없이 Access 보고서 스냅숏을 볼 수 있는 기능을 제공합니다. 이 취약점은 Microsoft Office Access 2000, Microsoft Office Access 2002, Microsoft Office Access 2003의 Snapshot Viewer에 사용되는 ActiveX 컨트롤에만 영향을 줍니다.

이 ActiveX 컨트롤은 지원되는 모든 Microsoft Office Access 버전(Microsoft Office Access 2007 제외)에 함께 제공됩니다. 이 ActiveX 컨트롤은 독립 실행형 Snapshot Viewer에서도 제공됩니다.

완화 요소

•	웹을 통한 공격의 경우 공격자는 호스팅하는 웹 사이트에 이 취약점을 악용하는 웹 페이지를 포함할 수 있습니다. 또한 사용자가 제공한 콘텐츠를 허용하거나 호스팅하는 공격 당한 웹 사이트에는 이 취약점을 악용할 수 있는 특수하게 조작된 콘텐츠가 포함되어 있을 수 있습니다. 공격자는 사용자가 전자 메일 메시지 또는 메신저 메시지의 링크를 클릭하여 공격자의 웹 사이트를 방문하도록 유도하는 것이 일반적입니다.
•	취약점 악용에 성공한 공격자는 로컬 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.
•	기본적으로 Windows Server 2003 및 Windows Server 2008의 Internet Explorer는 보안 강화 구성 (영문)으로 알려진 제한된 모드로 실행됩니다. 이 모드는 인터넷 영역 보안 수준을 높음으로 설정합니다. Internet Explorer의 신뢰할 수 있는 사이트 영역에 추가되지 않는 웹 사이트에 대한 완화 요소입니다.

일반 정보

개요

권고의 목적: Microsoft Office Access 2000, Microsoft Office Access 2002, Microsoft Office Access 2003 Snapshot Viewer의 ActiveX 컨트롤에 영향을 주며 특성 대상을 겨냥하여 감행되는 활성 공격을 알립니다.

권고 상태: 권고가 게시되었습니다.

권장 사항: 권장 조치를 검토하고 필요한 경우 구성하십시오.

참고 자료	번호
CERT 참고	VU#837785 (영문)
CVE 참고	CVE-2008-2463 (영문)

이 권고에 해당되는 소프트웨어는 다음과 같습니다.

관련 소프트웨어
Microsoft Access Snapshot Viewer
Microsoft Office Access 2000
Microsoft Office Access 2002
Microsoft Office Access 2003

Top of section

자주 제기되는 질문 사항(FAQ)

이 권고의 범위는 무엇입니까?
Microsoft는 Microsoft Access Snapshot Viewer의 ActiveX 컨트롤에 영향을 주는 새로운 취약점을 보고 받았습니다. 이 취약점은 "개요" 항목에 나열된 소프트웨어에 영향을 줍니다.

이 문제점은 Microsoft에서 보안 업데이트를 배포해야 하는 보안 취약점입니까?
Microsoft는 고객을 보고하기 위해 필요한 적절한 조치를 모두 취할 예정입니다. 여기에는 매달 제공되는 보안 업데이트, 부정기 보안 업데이트, 사용자가 직접 대응하는 데 도움이 되는 추가적인 지침이 포함됩니다.

이 위협의 원인은 무엇입니까?
이 위협은 Snapshot Viewer에 사용되는 ActiveX 컨트롤의 취약점이 원인입니다. Internet Explorer를 통해 ActiveX 컨트롤을 악용하도록 특수하게 조작되어 설계된 웹 사이트에서 원격 코드 실행이 발생할 수 있습니다. 여기에는 사용자가 제공한 콘텐츠나 광고를 허용하거나 호스팅하는 웹 사이트와 공격에 노출된 웹 사이트도 포함될 수 있습니다. 이러한 웹 사이트에 이 취약점을 악용하는 특수하게 조작된 콘텐츠가 포함될 수 있습니다. 그러나 어떠한 경우에도 공격자는 강제로 사용자가 이러한 웹 사이트를 방문하도록 만들 수 없습니다. 대신 공격자는 사용자가 전자 메일 메시지 또는 메신저 요청의 링크를 클릭하여 공격자의 웹 사이트를 방문하도록 유도하는 것이 일반적입니다. 배너 광고에서 특수하게 조작된 웹 콘텐츠를 표시하거나 웹 콘텐츠를 전달하는 다른 방법을 사용하여 영향을 받는 시스템에 대한 공격을 시도할 수도 있습니다.

Microsoft Access Snapshot Viewer란 무엇입니까?
Snapshot Viewer는 표준 또는 런타임 버전의 Microsoft Office Access 없이 Access 보고서 스냅숏을 볼 수 있는 기능을 제공합니다.

킬(Kill) 비트란 무엇입니까?
Internet Explorer HTML 렌더링 엔진을 사용하여 ActiveX 컨트롤이 로드되는 것을 막는 Microsoft Internet Explorer의 보안 기능입니다. 이러한 기능은 레지스트리 설정을 통해 수행되며 킬(Kill) 비트를 설정한다고 합니다. 킬(Kill) 비트를 설정하면 컨트롤이 완전히 설치되었어도 로드할 수 없습니다. 킬(Kill) 비트를 설정하면 시스템에 취약한 구성 요소를 설치하거나 재설치하더라도 해당 구성 요소가 실행되지 않으므로 해가 없습니다.

킬(Kill) 비트에 대한 자세한 내용은 Microsoft 기술 자료 문서 240797: Internet Explorer에서 ActiveX 컨트롤 실행을 중지하는 방법을 참조하십시오.

ActiveX 컨트롤이 설치되어 있지 않아도 킬(Kill) 비트를 설정해야 합니까?
예. 킬(Kill) 비트를 설정하면 취약한 컨트롤이 Internet Explorer에서 실행되지 않도록 차단됩니다.

컨트롤의 설치 여부는 어떻게 확인합니까?
다음 중 하나 이상의 레지스트리 키가 설정됩니다.

HKEY_CLASSES_ROOT\CLSID\{F0E42D50-368C-11D0-AD81-00A0C90DC8D9}

HKEY_CLASSES_ROOT\CLSID\{F0E42D60-368C-11D0-AD81-00A0C90DC8D9}

HKEY_CLASSES_ROOT\CLSID\{F2175210-368C-11D0-AD81-00A0C90DC8D9}

Top of section

권장 조치

대안

Microsoft는 다음과 같은 대안을 테스트했습니다. 이러한 대안이 취약점 자체를 해결하지는 않지만 알려진 공격 경로를 차단하는 데 도움이 됩니다. 대안으로 인해 기능이 감소하는 경우 해당 항목에 명시됩니다.

•

Internet Explorer에서 COM 개체가 실행되지 않도록 설정

레지스트리에서 컨트롤에 킬(Kill) 비트를 설정하여 Internet Explorer에서 COM 개체를 인스턴스화하지 않도록 설정할 수 있습니다.

경고 레지스트리 편집기를 잘못 사용하면 운영 체제를 다시 설치해야 할 만큼 심각한 문제가 발생할 수 있습니다. Microsoft는 레지스트리 편집기를 잘못 사용하여 발생하는 문제에 대한 해결 여부를 보장하지 않습니다. 레지스트리 편집기의 사용에 따른 모든 책임은 사용자에게 있습니다.

Internet Explorer에서 컨트롤이 실행되지 않도록 설정하는 자세한 방법은 Microsoft 기술 자료 문서 240797을 참조하십시오. 이 문서에서는 레지스트리에 호환성 플래그 값을 만들어 COM 개체가 Internet Explorer에서 인스턴스화되는 것을 방지하는 방법도 설명합니다.

다음 텍스트를 메모장 같은 텍스트 편집기에 복사하여 붙여 넣으십시오. 그런 다음 .reg 파일 이름 확장명을 사용하여 파일을 저장하십시오.

Windows 레지스트리 편집기 버전 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F0E42D50-368C-11D0-AD81-00A0C90DC8D9}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F0E42D60-368C-11D0-AD81-00A0C90DC8D9}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F2175210-368C-11D0-AD81-00A0C90DC8D9}]
"Compatibility Flags"=dword:00000400

두 번 클릭하여 이 .reg 파일을 개별 시스템에 적용할 수 있습니다. 그룹 정책을 사용하면 도메인 전체에 적용할 수도 있습니다. 그룹 정책에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 참조하십시오.

•	그룹 정책 컬렉션 (영문)
•	그룹 정책 개체 편집기란 무엇입니까? (영문)
•	핵심 그룹 정책 도구 및 설정 (영문)

참고 변경 내용을 적용하려면 Internet Explorer를 다시 시작해야 합니다.

대안의 영향: ActiveX 컨트롤이 Internet Explorer에서 더 이상 인스턴스화하지 않습니다. Microsoft Office Access 97에서 Microsoft Office Access 2007 버전까지의 표준 또는 런타임 버전이 설치되어 있지 않고 이 컨트롤을 사용하여 보고서 스냅숏을 보는 사용자의 경우, Internet Explorer를 통해 Snapshot Viewer의 ActiveX 컨트롤을 사용하면 보고서가 표시되지 않을 수 있습니다.

•

Active 스크립팅의 실행 여부를 묻도록 Internet Explorer를 구성하거나 인터넷 및 로컬 인트라넷 보안 영역에서 Active 스크립팅을 사용하지 않도록 설정

Active 스크립팅의 실행 여부를 사용자에게 묻도록 하거나 인터넷 및 로컬 인트라넷 보안 영역에서 Active 스크립팅을 사용하지 않도록 설정을 변경하면 이 취약점 악용으로부터 시스템을 보호할 수 있습니다. 이를 수행하려면 다음 절차를 따르십시오.

1.	Internet Explorer에서 도구 메뉴의 인터넷 옵션을 클릭합니다.
2.	보안 탭을 클릭합니다.
3.	인터넷을 클릭한 다음 사용자 지정 수준을 클릭합니다.
4.	설정에서 스크립팅 구역에 있는 Active 스크립팅에 대해 확인 또는 사용 안 함을 클릭한 다음 확인을 클릭합니다.
5.	로컬 인트라넷, 사용자 지정 수준을 차례로 클릭합니다.
6.	설정에서 스크립팅 구역에 있는 Active 스크립팅에 대해 확인 또는 사용 안 함을 클릭한 다음 확인을 클릭합니다.
7.	확인을 두 번 클릭하여 Internet Explorer로 돌아갑니다.

참고 인터넷 및 로컬 인트라넷 보안 영역에서 Active 스크립팅을 사용하지 않도록 설정하면 일부 웹 사이트가 제대로 작동하지 않을 수 있습니다. 이 설정을 변경한 후에 특정 웹 사이트가 원활하게 작동하지 않는 경우 해당 사이트의 안전을 확신한다면 이 사이트를 신뢰할 수 있는 사이트에 추가할 수 있습니다. 그러면 해당 사이트가 올바르게 작동합니다.

신뢰하는 사이트를 Internet Explorer의 신뢰할 수 있는 사이트 영역에 추가

Internet Explorer의 인터넷 영역과 로컬 인트라넷 영역에서 ActiveX 컨트롤과 Active 스크립팅을 실행하기 전에 사용자에게 묻도록 설정한 다음 원하는 경우 신뢰하는 사이트를 Internet Explorer의 신뢰할 수 있는 사이트 영역에 추가할 수 있습니다. 이렇게 하면 신뢰할 수 있는 사이트를 지금과 똑같이 계속 사용하면서 신뢰할 수 없는 사이트에 대한 공격으로부터 시스템을 보호할 수 있습니다. 신뢰할 수 있는 사이트만 신뢰할 수 있는 사이트 영역에 추가할 것을 권장합니다.

이를 수행하려면 다음 절차를 따르십시오.

1.	Internet Explorer에서도구를 누르고 인터넷 옵션을 누른 다음 보안 탭을 누릅니다.
2.	보안 설정을 지정할 웹 콘텐츠 영역을 선택하십시오 상자에서 신뢰할 수 있는 사이트를 누른 다음 사이트를 누릅니다.
3.	암호화된 채널이 필요하지 않은 사이트를 추가하려면 이 영역에 있는 모든 사이트에 대해 서버 확인(https:) 필요 확인란의 선택을 취소합니다.
4.	신뢰하는사이트의 URL을 영역에 웹 사이트 추가 상자에 입력한 다음 추가를 누릅니다.
5.	이 영역에 추가하려는 각 사이트에 대해 이러한 단계를 반복합니다.
6.	확인을 두 번 클릭하여 변경 사항을 적용하고 Internet Explorer로 돌아갑니다.

참고 사용자 시스템에 악의적인 행위를 취하지 않을 것으로 신뢰하는 사이트를 모두 추가합니다. 특히 *.windowsupdate.microsoft.com 및 *.update.microsoft.com 두 사이트는 추가하는 것이 좋습니다. 이 사이트는 업데이트를 호스팅하는 사이트이므로 업데이트를 설치하기 위해 ActiveX 컨트롤이 필요합니다.

대안의 영향: Active 스크립팅을 실행하기 전에 실행 여부를 묻도록 설정하면 부작용이 생깁니다. 인터넷 또는 인트라넷의 웹 사이트에서 추가 기능을 제공하기 위해 Active 스크립팅을 사용하는 경우가 많습니다. 예를 들어 온라인 전자 상거래 사이트나 인터넷 뱅킹 사이트에서는 메뉴, 주문서 또는 계좌 내역을 제공하기 위해 Active 스크립팅을 사용할 수 있습니다. Active 스크립팅을 실행하기 전에 실행 여부를 묻도록 설정하면 모든 인터넷 및 인트라넷 사이트에 이 설정이 적용됩니다. 이 대안을 사용하면 확인 메시지가 자주 표시됩니다. 확인 메시지가 표시될 때마다 방문하는 사이트를 신뢰할 수 있다고 생각되면 예를 눌러 Active 스크립팅을 실행하십시오. 이러한 사이트 모두에 대해 확인 메시지를 표시하지 않으려면 "신뢰하는 사이트를 Internet Explorer의 신뢰할 수 있는 사이트 영역에 추가"에서 설명하는 절차를 사용하십시오.

•

인터넷 및 로컬 인트라넷 보안 영역에서 ActiveX 컨트롤과 Active 스크립팅을 실행하기 전에 실행 여부를 묻도록 이 영역의 설정을 "높음"으로 설정

ActiveX 컨트롤과 Active 스크립팅을 실행하기 전에 실행 여부를 묻도록 인터넷 보안 영역의 설정을 변경하여 취약점 악용으로부터 시스템을 보호할 수 있습니다. 브라우저 보안을 높음으로 설정하면 됩니다.

Microsoft Internet Explorer의 검색 보안 수준을 높이려면 다음 절차를 따르십시오.

1.	Internet Explorer 도구 메뉴에서 인터넷 옵션을 클릭합니다.
2.	인터넷 옵션 대화 상자에서 보안 탭을 클릭한 다음 인터넷 아이콘을 클릭합니다.
3.	이 영역에 적용할 보안 수준에서 슬라이더를 높음으로 이동합니다. 그러면 사용자가 방문하는 모든 웹 사이트에 대한 보안 수준을 높음으로 설정합니다.

참고 슬라이더가 보이지 않으면 기본 수준을 클릭하고 슬라이더를 높음으로 이동합니다.

참고 수준을 높음으로 설정하면 일부 웹 사이트가 제대로 작동하지 않을 수 있습니다. 이 설정을 변경한 후에 특정 웹 사이트가 원활하게 작동하지 않는 경우 해당 사이트의 안전을 확신한다면 이 사이트를 신뢰할 수 있는 사이트에 추가할 수 있습니다. 그러면 보안 설정을 높음으로 설정해도 해당 사이트가 올바르게 작동합니다.

신뢰하는 사이트를 Internet Explorer의 신뢰할 수 있는 사이트 영역에 추가

이를 수행하려면 다음 절차를 따르십시오.

1.	Internet Explorer에서도구를 누르고 인터넷 옵션을 누른 다음 보안 탭을 누릅니다.
2.	보안 설정을 지정할 웹 콘텐츠 영역을 선택하십시오 상자에서 신뢰할 수 있는 사이트를 누른 다음 사이트를 누릅니다.
3.	암호화된 채널이 필요하지 않은 사이트를 추가하려면 이 영역에 있는 모든 사이트에 대해 서버 확인(https:) 필요 확인란의 선택을 취소합니다.
4.	신뢰하는사이트의 URL을 영역에 웹 사이트 추가 상자에 입력한 다음 추가를 누릅니다.
5.	이 영역에 추가하려는 각 사이트에 대해 이러한 단계를 반복합니다.
6.	확인을 두 번 클릭하여 변경 사항을 적용하고 Internet Explorer로 돌아갑니다.

대안의 영향: ActiveX 컨트롤 및 Active 스크립팅을 실행하기 전에 실행 여부를 묻도록 설정하는 경우 부작용이 있을 수 있습니다. 여러 인터넷 또는 인트라넷의 웹 사이트에서 추가 기능을 제공하기 위해 ActiveX 및 Active 스크립팅을 사용합니다. 예를 들어 온라인 전자 상거래 사이트나 인터넷 뱅킹 사이트에서는 메뉴, 주문서, 계좌 내역을 제공하기 위해 ActiveX 컨트롤을 사용합니다. ActiveX 컨트롤 또는 Active 스크립팅을 실행하기 전에 실행 여부를 묻도록 설정하면 모든 인터넷 및 인트라넷 사이트에 이 설정이 적용됩니다. 이 대안을 사용하면 확인 메시지가 자주 표시됩니다. 확인 메시지가 표시될 때마다 방문하는 사이트를 신뢰할 수 있다고 생각되면 예를 눌러 ActiveX 컨트롤 또는 Active 스크립팅을 실행하십시오. 이러한 사이트 모두에 대해 확인 메시지를 표시하지 않으려면 "신뢰하는 사이트를 Internet Explorer의 신뢰할 수 있는 사이트 영역에 추가"에서 설명하는 절차를 사용하십시오.

Top of section

관련 자료:

•	Microsoft 도움말 및 지원:문의처를 방문, 양식을 작성하여 피드백을 보낼 수 있습니다.
•	기술 지원은 1577-9700을 통해 Microsoft 고객지원센터에서 받을 수 있습니다. 사용 가능한 지원 옵션을 자세히 보려면 Microsoft 도움말 및 지원 웹 사이트를 참조하십시오.
•	기타 지역에 거주하는 고객은 해당 Microsoft 지사에서 지원을 받을 수 있습니다. Microsoft 지원 부서에 연락하는 방법에 대한 자세한 내용은 국가별 지원에 나와 있습니다.
•	Microsoft TechNet Security (영문)는 Microsoft 제품의 보안에 대한 추가 정보를 제공합니다.

부인:

이 권고에서 제공되는 정보는 어떠한 보증도 없이 "있는 그대로" 제공됩니다. Microsoft는 상품성 및 특정 목적에의 적합성에 대한 보증을 포함하여 명시적이거나 묵시적인 어떤 보증도 하지 않습니다. Microsoft Corporation 또는 그 공급자는 모든 직접적, 간접적, 부수적, 파생적 손해 또는 영업 이익 손실 또는 특수한 손실에 대하여 어떠한 경우에도 책임을 지지 않으며, 이는 Microsoft Corporation과 그 공급자가 그와 같은 손해의 가능성을 사전에 알고 있던 경우에도 마찬가지입니다. 일부 지역에서는 파생적 또는 부수적 손해에 대한 책임의 배제 또는 제한을 허용하지 않으므로 위 제한은 귀하에게 적용되지 않을 수도 있습니다.

개정 내역:

•	2008년 7월 8일: 권고가 게시되었습니다.

페이지 위쪽