Windows 메타파일 취약성
Windows Metafile vulnerabilityWindows Metafile 의 취약성은, Microsoft Windows operating system 의 일부 버전에서 Windows Metafile 형식의 이미지를 처리하는 방법의 시큐러티 취약성입니다.사용자의 허가 없이 영향을 받는 컴퓨터에서 임의 코드를 실행할 수 있습니다.2005년 12월 27일에 발견되어 24시간 이내에 영향을 받는 컴퓨터의 첫 보고서가 발표되었습니다.Microsoft는 2006년 [1]1월 5일에 Windows Update를 통해 이 취약성을 제거하기 위한 높은 우선순위 업데이트를 발표했습니다.이 취약성을 이용한 공격은 WMF 악용이라고 불립니다.
취약성은 gdi32.dll에 있으며 Windows 3.0에서 Windows Server 2003 R2에 이르는 모든 버전의 Microsoft Windows에 존재합니다.단, 공격 벡터는 NT 기반 Windows 버전(Windows NT, Windows 2000, Windows XP 및 Windows Server 2003)에만 존재합니다.Windows NT 기반 시스템의 취약성을 이용한 부정 이용은 일반적으로 드라이브 바이 다운로드를 통해 다양한 유형의 멀웨어를 전파하는 데 도움이 되었습니다.
이 버그는 엄청난 충격으로 2007년 Pwnie Award에서 "Mass 0wnage"와 "Breaking the Internet"으로 상을 받았습니다.
영향을 받는 시스템
Microsoft Windows 운영 체제의 모든 버전은 Windows Metafile 그래픽 표준을 지원합니다.윈도우즈 3.0에서 윈도우즈 서버 2003 R2에 이르는 모든 버전에는 이 보안 [2]결함이 있습니다.그러나 Windows NT 4.0 및 Windows XP는 패치를 적용하지 않는 한 기본 설치로 취약성의 [3]원인인 Windows Metafile 코드를 실행할 수 있기 때문에 이전 버전보다 더 취약합니다.이후 Windows 버전에는 이 [2]취약성이 없습니다.
컴퓨터 보안 전문가 Steve Gibson에 따르면 Windows NT 4는 이미지 미리보기를 [3]활성화하면 알려진 악용에 취약합니다.이미지 미리보기가 활성화되어 있지 않거나 모든 응용 프로그램에 대해 하드웨어 기반 DEP(Data Execution Prevention)가 활성화되어 있는 Windows 운영체제는 이 부정 [4]이용에 취약하지 않습니다.
Windows 이외의 operating system(macOS, Unix, Linux 등)은 직접적인 영향을 받지 않습니다.다만, Windows 이외의 시스템이 Windows WMF 파일을 표시하는 소프트웨어를 실행하고 있는 경우는, 취약해질 가능성이 있습니다.여기에는 Windows의 네이티브 그래픽스 디바이스 인터페이스(GDI) 다이내믹 링크 라이브러리(DLL)[1]를 통합 또는 복제하거나 에뮬레이터 또는 호환성 레이어를 통해 Windows 또는 Windows 프로그램을 실행하는 소프트웨어가 포함됩니다.예를 들어 Wine을 사용하여 Windows를 에뮬레이트하는 Unix와 같은 시스템이 [5]악용될 수 있습니다.Gibson은 Windows 및 Windows [3]에뮬레이터를 실행하는 시스템의 Windows 메타파일의 취약성을 검출하기 위해 프리웨어로 배포하는 MouseTrap 프로그램을 작성했습니다.
취약성
F-Secure의 [2]평가에 따르면 WMF 파일의 기본 아키텍처는 이전 시대의 것으로 WMF 파일을 열 때마다 실제 코드를 실행할 수 있는 기능이 포함되어 있기 때문에 이 취약성은 WMF 파일 설계에 내재된 결함입니다.원래 목적은 스풀링 중 인쇄 작업의 취소를 처리하는 것이었습니다.
Secunia에 따르면 이 취약성은 특수하게 조작된 Windows 메타파일 파일('wmf')의 처리 오류로 인해 발생합니다.SETABORTPROC
'탈옥' 기록.이러한 레코드를 사용하면 WMF 파일의 렌더링에 실패했을 때 임의의 사용자 정의 함수를 실행할 수 있습니다."Windows 3.1 SDK 의 메뉴얼에 의하면,SETABORTPROC
escape는 WMF 취약성이 발견되기 훨씬 전에 Windows 3.1에서 폐지되어 같은 이름의 기능으로 대체되었습니다.그러나 폐지된 이스케이프 코드는 Windows 3.0용으로 작성된(또는 적어도 하위 호환성이 있는) 16비트 프로그램과의 호환성을 위해 유지되었습니다.이 변경은 Microsoft가 Windows NT용 GDI의 32비트 재실장을 작성했을 때와 거의 동시에 이루어졌으며 이 과정에서 취약성이 발생했을 가능성이 있습니다.
문제의 'Escape' 메커니즘은 하드웨어 가속 Bézier 곡선, 캡슐화된 포스트스크립트 지원 등 아직 GDI에 의해 추상화되지 않은 출력 장치 기능에 응용 프로그램(메타파일이 아님)이 액세스할 수 있도록 합니다.이것은, 콜에 opcode, 사이즈, 및 데이터에의 포인터를 건네주는 것으로 행해집니다.콜은 통상, 데이터를 드라이버에게 건네줍니다.대부분의 이스케이프 콜은 실제 그래픽을 생성하기 때문에 일반적인 이스케이프 메커니즘은 메타파일에서 허용되며, 원래 SETABORTPROC 등의 용도로 사용할 가능성은 거의 없습니다.현대의 취약하지 않은 메타파일 인터프리터는 opcode의 완전한 세트를 사용 가능한 상태로 유지하면서 opcode를 블랙리스트 또는 화이트리스트에 체크합니다.GDI 이스케이프 함수를 직접 호출하는 일반 코드로 이동합니다(이러한 코드는 GDI 콜을 발신할 수 있는 코드와 같은 방법으로 이미 실행되고 있기 때문에 이 경우 보안상의 위험은 없습니다).
메타파일로 지정된 포인터는 메타파일 내의 데이터만을 가리킬 수 있으며 16비트 Windows는 항상 16비트 보호 모드의 세그먼트 아키텍처에 의해 완전한 데이터 실행이 요구되기 때문에 16비트 Windows(거의 사용되지 않는 Windows 3.0 모드 제외)는 이 취약성에 영향을 받지 않습니다.32비트 x86 이외의 CPU 아키텍처(MIPS, PowerPC, Alpha, Itanium, x86_64 등)에서는 오래된 x86 프로세서에는 실행 기능이 없기 때문에 이러한 아키텍처에 이용하려면 반환 지향 프로그래밍이 필요했습니다.
취약성은 CVE-입니다.2005 ~ 4560 の 「 Common Vulnerabilities and Exposure 」데이터베이스, US-CERT 참조 VU#181038 및 Microsoft Knowledge Base 기사912840.2005년 12월 28일, Sunbelt Software의 연구자들에 의해 야생에서 처음 관찰되었으며, Alex Eckelberry [6][7]사장에 의해 공개적으로 발표되었다.
전파 및 감염
컴퓨터는 해킹된 WMF 파일을 첨부 파일로 전송하는 감염된 이메일의 확산을 통해 영향을 받을 수 있습니다.감염의 원인은 다음과 같습니다.
- 웹 브라우저에서 WMF 파일을 자동으로 여는 웹 사이트 표시. 이 경우 잠재적인 악성 코드가 자동으로 다운로드되어 열립니다.Internet Explorer는 1996년부터 Windows 10까지의 모든 버전의 Microsoft Windows 기본 웹 브라우저입니다.
- Windows 탐색기에서 감염된 파일을 미리 봅니다.
- 일부 취약한 이미지 보기 프로그램을 사용하여 감염된 이미지 파일 보기
- 이전 버전의 Microsoft Outlook 및 Outlook Express에서 감염된 전자 메일을 미리 보거나 엽니다.
- Google Desktop에서 감염된 파일이 들어 있는 하드 디스크 인덱싱.
- Windows Live Messenger, AOL Instant Messenger(AIM) 또는 Yahoo! 등의 인스턴트 메시징 프로그램을 통한 링크 클릭 메신저.
다른 방법으로도 감염을 전파할 수 있습니다.이 문제는 운영 체제 내에서 발생하므로 Firefox나 Opera 등 Microsoft 이외의 브라우저를 사용해도 완벽하게 보호되지 않습니다.일반적으로 사용자는 컴퓨터를 감염시키는 악의적인 파일을 다운로드하여 표시하도록 요구됩니다.감염된 파일은 자동으로 다운로드되므로 디스크 인덱싱 또는 실수로 미리 보기를 통해 감염될 가능성이 있습니다.
McAfee 바이러스 백신 [3]회사의 평가에 따르면 이 취약성은 Bifrost 백도어 트로이 목마를 전파하는 데 사용되었습니다.다른 형태의 악성 프로그램에서도 이 취약성을 이용하여 다양한 악성 페이로드가 전송되었습니다.
McAfee는 2005년 12월 31일까지 고객층의 6% 이상이 이러한 공격의 제1세대를 경험했다고 주장하고 있습니다.
공식 패치

Microsoft는 2006년 [8]1월 5일에 이 문제에 대처하기 위한 정식 패치를 발표했습니다.이 패치는 다른 수정 조치 대신 적용될 수 있습니다.
공식 패치는 Windows 2000, Windows XP 및 Microsoft Windows Server 2003에서 사용할 수 있습니다.Windows NT 4 및 기타 이전 운영 체제는 Microsoft에서 더 이상 지원되지 않기 때문에 패치를 받을 수 없습니다.Steve Gibson은 Security Now! 팟캐스트 No. 20에서 그의 회사 Gibson Research Corporation이 마이크로소프트가 제공하지 [9]않을 경우 Windows 9x 시스템에서 사용할 수 있는 패치를 만들 것이라고 말했다.Steve Gibson은 이후 Security Now! 팟캐스트 No.23에서 Windows 9x와 ME는 취약하지 않으며 [10]패치 적용이 필요하지 않다고 밝혔다.Windows 9x/ME 사용자는 마우스 트랩 유틸리티를 실행하여 직접 확인할 수 있습니다.
Eset의 NOD32 안티바이러스 시스템의 이탈리아 디스트리뷰터인 Future Time의 Paolo Monti에 의해 Windows[11] NT용 무료 다운로드 가능한 패치가 제공되었습니다.패치는 이전 운영 체제에서 작동하지만 보증 없이 제공됩니다.
Windows Automatic Update가 자동으로 다운로드된 업데이트를 설치하기 전에 확인하도록 구성된 경우에도 공식 패치가 자동으로 설치된다는 보고가 있었습니다.이로 인해 자동 재부팅이 발생하여 사용자가 저장하지 않은 [4]변경으로 프로그램을 열면 데이터가 손실될 수 있습니다.
기타 시정조치
이러한 조치는 2006년 1월 5일 이후에 갱신된 시스템에 대해서만 과거부터 유효합니다.
회피책
패치를 사용할 [5]수 있게 되기 전의 회피책으로서 Microsoft는 2005년 12월 28일에 Windows 사용자에게 다이내믹 링크라이브러리 파일 shimgvw.dll을 등록 해제하도록 권장했습니다(명령어를 실행하면 됩니다).regsvr32.exe /u shimgvw.dll
실행 메뉴 또는 명령어프롬프트)에서 이미지 파일의 미리보기를 호출하여 대부분의 공격에 이용됩니다.패치 적용 후 DLL을 재등록하려면regsvr32.exe shimgvw.dll
이 회피책은 일반적인 공격 벡터를 차단하지만 취약성을 제거하지는 않습니다.
서드파티제 패치
2005년 12월 31일 Ilfak Gilfanov에 의해 gdi32.dll의 취약한 함수 호출을 일시적으로 비활성화하기 위한 서드파티[6] 패치가 릴리스되었습니다.이 비공식 패치는 SANS Institute Internet Storm[7] Center 및 F-Secure의 [8]추천을 받아 마이크로소프트로부터 정식 패치가 제공되지 않아 많은 주목을 받았습니다.간접적으로 슬래시 닷이 [9]있는 것을 포함한 많은 양의 홍보로 인해 Guilfanov의 웹사이트는 감당할 수 없을 정도로 많은 방문자를 받았고 2006년 1월 3일에 중단되었다. 이 패치는 Internet Storm Center [10]웹사이트를 포함한 여러 미러에서 다운로드 할 수 있었다.
Guilfanov의 웹사이트는 1월 4일 대폭 축소된 상태로 다시 온라인에 접속했다.대역폭 문제로 인해 패치를 온사이트에서 제공하지 않게 된 홈페이지는 사용자가 패치와 관련된 취약성 체커를 다운로드할 수 있는 미러 목록과 파일의 MD5 체크섬을 제공하여 다운로드한 파일이 정품임을 확인할 수 있도록 했습니다.
마이크로소프트가 패치를 발표한 후 Guilfanov는 패치를 철회했다.
리스크 저감 방법
마이크로소프트는 WMF의 취약성을 허용한 GDI32의 결함 있는 기능을 패치로 제거했다고 밝혔습니다.패치가 적용되지 않은 버전의 Windows를 실행하는 컴퓨터에서는 감염 위험을 줄이기 위해 심층 방어 접근법이 권장되었습니다.다음과 같은 다양한 소스에서 권장되는 완화 작업입니다.
- 하드웨어 적용 데이터 실행 방지[11] 기능을 모든 애플리케이션에 유효하게 활용합니다.
- 디폴트의 WMF 애플리케이션은, 메모장등의 감염에 영향을 받기 쉬운 애플리케이션으로 설정합니다.
- Internet Explorer를 사용하지 않거나 기본 보안 설정을 높음으로 설정하여 다운로드를 끄십시오.
- 모든 안티바이러스 소프트웨어를 최신 상태로 유지합니다.수동 갱신을 자주 해 주세요.
- 파일 헤더 필터링에 의해 네트워크 경계상의 모든 WMF 파일을 차단합니다.
- 필요한 사용자 권한만 사용하여 구성된 사용자 계정을 사용합니다.
- Internet Explorer 및 기타 [12]모든 브라우저에서 이미지 로드를 비활성화합니다.
- Outlook [13]Express에서 이미지 로드를 비활성화합니다.
- MSN Messenger에서 하이퍼링크를 비활성화합니다.
- Windows 2000, Windows XP, 및 Windows Server 2003 의 인덱싱 서비스를 무효로 합니다.
- 문제가 해결될 때까지 Google 데스크톱 또는 Windows 데스크톱 검색 등의 데스크톱 검색 응용 프로그램을 비활성화합니다.
SANS Institute Internet Storm Center 기사에 따르면 Internet Explorer 이외의 웹 브라우저를 사용하면 이 [12]취약성에 대한 추가적인 보호를 제공할 수 있습니다.설정에 따라서는 .wmf 확장자로 이미지를 열기 전에 이러한 브라우저가 사용자에게 요청할 수 있지만 악의적으로 조작된 Windows 메타파일을 열 가능성을 줄일 수 있을 뿐 아니라 다른 형식으로 위장되어도 메타파일이 열리기 때문에 취약성을 방지할 수 없습니다.사용하는 브라우저에서는 이미지 로드를 완전히 디세블로 하는 것이 좋습니다.
고발
2006년 Steve Gibson은 '버그'의 특수성이 이 취약성이 실제로 [13]시스템에 의도적으로 설계된 백도어임을 나타내는 것이라고 주장했다.이 비난은 기술 뉴스 웹사이트 슬래시닷이 [13]깁슨의 추측을 보도한 후 루머로 인터넷을 통해 퍼졌다.이 소문은 널리 알려졌고[14][15], 토마스 그린은 The Register에 기고한 글에서 깁슨의 실수를 "그의 보안 경험 부족" 탓으로 돌리며 그를 "포핀제이 전문가"[13]라고 불렀다.
메모들
- ^Security Watch: 인터넷상의 불법 이미지!, PC Magazine의 Larry Seltzer씨.
- ^ Microsoft Windows Millennium Edition 이미지 미리보기 기능 설명
- ^ 선블로그blogspot.com Microsoft, DEP 문제 해명
- ^ WMF 파일을 실행하기 위한 Windows 이외의 운영 체제용 라이브러리.
- ^ Linux/BSD는 여전히 WINE, ZDNet을 통해 WMF의 악용에 노출되어 있습니다.
- ^ 버그가 아니라 기능인 F-Secure입니다.
- ^ 취약성 - WMF, McAfee별
- ^ Microsoft Security Advisory (912840) - Graphics Rendering Engine의 취약성에 의해 원격으로 코드가 실행되며 Microsoft Official Advisory가 이 취약성에 대해 설명합니다.
- ^ http://www.hexblog.com/2005/12/wmf_vuln.html, Ilfak Gilfanov의 비공식 패치.
- ^ 신뢰성 높은 컴퓨팅, SANS Institute Internet Storm Center.
- ^ 구조대, F-Secure.
- ^ 신뢰성 높은 컴퓨팅, 슬래시닷.SANS Institute Internet Storm Center 기사 링크(위 참조)
- ^ .MSI 설치 관리자 파일에서 WMF 결함을 확인할 수 있습니다. SANS Institute Internet Storm Center.
- ^ Windows XP SP2의 메모리 보호 설정 방법, Microsoft Windows XP SP2의 소프트웨어 적용 데이터 실행 방지(DEP) 기능
- ^ Internet Explorer(KB153790), Microsoft에서 브라우징 성능을 향상시키는 방법.
- ^ Windows XP Service Pack 2 기반 컴퓨터(KB843018)의 Outlook Express에서 전자 메일 메시지를 열면 이미지가 차단됩니다.
- ^ http://www.nod32.ch/en/download/tools.php ESET에 의해 배포된 Paolo Monti의 비공식 WMF 패치.
- ^ http://blogs.securiteam.com/index.php/archives/210 Tom Walsh의 비공식 Windows 98SE 패치.
레퍼런스
- ^ "Microsoft Releases Security Update to Fix Vulnerability in Windows", PressPass, Microsoft, January 5, 2006, archived from the original on January 18, 2006
- ^ a b "Microsoft Security Bulletin MS06-001 – Critical". TechNet. Microsoft. January 5, 2006.
- ^ a b c Gibson, Steve (January 19, 2006). "M.I.C.E.: Metafile Image Code Execution". Gibson Research Corporation.
- ^ Eckelberry, Alex (December 31, 2005). "Microsoft Clarifies 'DEP' Issue". GFI Blog. GFI Software.
{{cite web}}
:누락 또는 비어 있음url=
(도움말) - ^ Gibson, Steve; Laporte, Leo (May 4, 2013). "GRC's MouseTrap". Security Now!.
- ^ "The December Storm of WMF: Preparation, Identification, and Containment of Exploits SANS Institute".
- ^ "New exploit blows by fully patched Windows XP systems". December 28, 2005.
- ^ "Technical documentation, API, and code examples". Microsoft.
- ^ "GRC Security Now! Transcript of Episode #20".
- ^ "GRC Security Now! Transcript of Episode #23".
- ^ 다운로드 가능한 Windows NT용 패치 by Paolo Monti
- ^ Frantzen, Swa, "WMF FAQ", InfoSec Handlers Diary Blog, SANS Institute Internet Storm Center
- ^ a b c Greene, Thomas C. (January 21, 2006). "Windows back door rumor is bunk". The Register. Situation Publishing Ltd. Retrieved November 7, 2013.
- ^ Microsoft Security Response Center의 Stephen Tooluze 씨.2006년 1월 13일, WMF의 문제를 보면, 어떻게 거기에 도달했을까요?
- ^ 마크 러시노비치 블로그의 오토 헬베그입니다2006년 1월 18일 WMF 백도어 내부
외부 링크

- GRC의 M.I.C.E. 메타파일 이미지 코드 실행
- 초보 홈 사용자를 위한 Microsoft 보안 게시판
- Microsoft 보안 게시판 MS08-021
- Microsoft 보안 게시판 MS06-001
- WMF FAQ – SANS Institute Internet Storm Center
- Windows 보안 결함 심각 - 워싱턴 포스트
- Microsoft Windows WMF "SETABORTPROC" 임의 코드 실행 – Secunia 어드바이저리
- 1월 1일 현재 현황 요약
- WMF 문제를 보면, 어떻게 그렇게 되었나요?– Microsoft 보안 대응 센터 블로그
- WMF 취약성에 대한 새로운 공격 – SANS Institute Internet Storm Center
- WMF 파일 취급 시 주의 – F-Secure
- WMF 0일간의 부정 이용에 취약한 Lotus Notes – SANS Institute Internet Storm Center
- 취약성 체커– Ilfak Gilfanov
- 악용 사례 – 메타스플로이트 프로젝트
- Escape 및 SetAbortProc용 Microsoft 개발자 네트워크 페이지
- 마크 러시노비치의 뒷문 논쟁에 관한 기술 해설