MS Office Access 제품의 신규 취약점으로 인한 피해주의

자료제공 : 한국정보보호진흥원 인터넷침해사고대응지원센터(KRCERT)

□ 개요

  o 보안 패치가 발표되지 않은 Microsoft Access Snapshot Viewer의 신규 취약점이 출현하여
     인터넷이용자가 악의적으로 snapview.ocx ActiveX를 조작한 웹 페이지를 열람할 경우,
     이용자 PC내 악성코드가 설치되는 등 피해가 발생할 수 있으므로 인터넷이용자의 주의가 요구됨
     ※ Microsoft Access Snapshot Viewer : 이해하기 쉬운 형태로 데이터를 구성해주는 Access
        보고서  스냅샷을 열람·인쇄·메일 발송하기 위해 사용되는 프로그램으로 MS Office 제품군
        전체설치 시  설치되나, 표준설치시 에도 관련파일(*.snp)을 클릭할 경우에도 취약한 ActiveX
        파일이  자동으로 설치되어 활성화 됨

  o 해당 취약점으로 인한 피해를 예방하기 위해서는 snapview.ocx ActiveX를 실행시키기 위해
     사용되는 해당 클래스 아이디를 킬비트시키고 신뢰되지 않은 이메일 혹은 웹 페이지를 열람하지
     않도록 주의하여야함
     ※ 킬비트(kill bit): 인터넷 익스플로러에서 컨트롤을 호출하지 못하도록 레지스트리를
        설정함으로써 인터넷 익스플로러에서 ActiveX 컨트롤이 실행되지 않도록 하는 방법임

□ 영향받는 제품
  o  MS Office 제품군 가운데,
     - MS Office Access 2000
     - MS Office Access 2002
     - MS Office Access 2003
     ※ snapview.ocx 설치 위치 : WindowsNT,2000일 경우 c:winntsystem32,
        WindowsXP일 경우 c:Windowssystem32
        혹은 C:Program FilesCommon FilesMicrosoft SharedSnapshot Viewer 

□ 취약점 설명
   o Microsoft Access Snapshot Viewer에서 제공하는 snapview.ocx ActiveX 컨트롤의 특정
      함수가 아래와 같은 자동실행 가능한 폴더에 원격에 위치한 파일을 다운로드하여 악성코드가
      실행될 수 있음
     ※ 자동실행 가능한 폴더의 예: 시작프로그램폴더
        (C:Documents and Settings[계정명]시작 메뉴프로그램\시작프로그램)

□ 영향
   o snapview.ocx ActiveX 컨트롤을 악용한 스크립트가 포함된 웹 페이지 및 이메일 열람 시
     악성코드가 설치되는 등의 피해를 입을 수 있음

□ 해결방안
   o 출처가 불분명한 이메일이나 신뢰되지 않은 사이트를 열람하지 않도록 주의하고
      백신을 최신 버전으로 업데이트 하여 해당 취약점으로 인한 피해가 발생하지 않도록 예방함
   o 해당취약점에 대한 보안패치 발표시, 최신 윈도우 보안업데이트 적용(자동보안업데이트 권장)
   o MS에서는 보안패치 발표전 임시 조치방안으로 취약한 ActiveX가 실행되지 않도록 킬비트
      설정하는   방법을 권고함[1]
     ※ 킬비트(kill bit)는 첨부 레지스트리 파일(killbit. reg)을 다운로드 받아 클릭하여 설정할 수 있음
     ※ 단, 첨부파일로 킬비트를 설정할 경우 해당 ActiveX(snapview.ocx)가
        실행되지 않으므로 해당 ActiveX 관련 응용프로그램에 영향을 줄 수 있으며,
        추후 해당 취약점에 대한 보안패치적용후에는 별도 복원과정이  필요

□ 기타 문의사항
   o 한국정보보호진흥원 인터넷침해사고대응지원센터: 국번없이 118

□ 참고사이트
   [1] http://www.microsoft.com/technet/security/advisory/955179.mspx