며칠 전 VirusBlokAda 사가 SCADA 시스템에 감염된 악성 코드의 조사 중에 발견한 LNK 취약점 (CVE-2010-2568)으로 인해 마이크로소프트에서 보안권고문 2286198을 발표했고, SANS에서는 위협 단계를 상향 조정했습니다. 일반적으로 USB 매체를 이용하는 바이러스는 autorun.inf를 이용하고 있는데, 이번에 발견된 Trojan-Spy.0485와 Malware-Cryptor.Win32.Inject.gen.2는 LNK를 이용하여 자동 실행을 하고 있었다고 합니다.

완전히 패치된 윈도우 7까지 모든 버전의 윈도우 운영체제에서 조작된 LNK를 만들어놓고 윈도우 탐색기로 해당 파일이 위치한 디렉터리를 열기만 하면 바로 가기가 자동으로 실행됩니다.

• Ivanlef0u의 PoC: Microsoft Windows Automatic LNK Shortcut File Code Execution

지금 이 취약점이 심각하게 받아들여지는 이유는 LNK의 위치에 상관없이 자동 실행이 가능하기 때문입니다. USB나 CD 뿐 아니라 SMB로 공유된 디렉터리를 열어도 자동 실행이 되면서 감염될 수 있기 때문에 내부 네트워크에 대한 악성 코드 전파가 쉽게 이루어질 수 있습니다. 윈도우 XP SP2 이하 버전에 대한 지원이 종료되었다는 점도 고려한다면 Conficker 웜 때와 같은 심각한 상황이 다시 발생할 수도 있습니다.

보안 권고문에서 제시하고 있는 임시 대응 방안은 다음과 같습니다:

• 바로 가기 아이콘을 표시하지 않도록 레지스트리 설정 변경HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler 키를 찾아서 기본값으로 설정되어 있는 문자열을 백업해놓고 값을 삭제합니다. 이후 explorer.exe 프로세스를 죽이고 재시작하거나 컴퓨터를 재시작합니다. 레지스트리 편집은 반드시 주의를 기울여야 합니다.
• WebClient 서비스 비활성화
  services.msc를 실행하여 서비스 제어판을 열고 WebClient 서비스를 중지시킨 후 속성을 편집해서 시작 유형을 "사용 안 함"으로 변경하고 적용합니다. WebDAV를 사용하는 서비스들이 정상적으로 동작할 수 없게 됩니다.
• 자동실행 비활성화
  Windows에서 자동 실행 기능을 비활성화하는 방법 문서를 참고하시기 바랍니다. 주로 사용되는 감염 경로를 차단할 수 있습니다.

관련 링크 목록

• [긴급]제로데이 악성코드 스마트그리드도 노린다!!
• 보안 권고 2286198 - 윈도우 셸 .lnk 취약점
• 윈도우 쉘 제로 데이 취약점 악용 악성코드 유포
• "W32.Temphid", "Stuxnet" 진단명 등의 Windows Shell Zero-Day 취약점 악성코드 주의

관련된 소식이 나오는대로 계속 전해드리겠습니다.