4,596 2015-10-26
ActiveX 컨트롤이란?
인터넷 익스플로러의 기능을 확장하기 위해 Microsoft 사에서 제공하는 기능입니다. 자바 애플릿과는 달리 사용자 PC의 파일, 레지스트리 등의 자원에 접근 가능합니다. 문제는 일반적인 윈도우프로그램과는 달리 공격자가 웹 인터페이스를 통해 언제든지 호출이 가능하다는 것입니다. |
ActiveX 사용 범위
· 웹 지도 서비스 용 ActiveX 컨트롤
· 웹 연동 애플리케이션
· 보안 프로그램 (PC 보안, PMS, 방화벽)
· 온라인 게임 설치 프로그램
· 동영상 및 음악 플레이어
· 메신저 프로그램
· 뉴스 등 PUSH 서비스 프로그램
ActiveX 사용 현황
· ActiveX 사용이 줄어드는 추세이나 아직도 국내 웹사이트는 ActiveX 컨트롤을 많이 이용
(천만 명 이상이 사용하는 다수의 컨트롤에서 취약점 발견)
· ActiveX 컨트롤에 대한 보안성 검증 절차가 없음
· 보안 프로그램에서 조차도 취약점이 발견
· 개별 회사의 문제가 아니라 ActiveX 취약점에 대한 인식과 공감대 형성이 부족해서 발생한 문제
· ActiveX 보안패치가 어려움
ActiveX 문제점
1) 내부 위협 · 기업 내에서 사용 중인 ActiveX 컨트롤에 취약점이 존재하면 사실상 해당 기업의 PC는 모두 해킹 가능 · PMS, 안티키로거 등 필수 보안 컨트롤에서 취약점 발견 · 인트라넷, 문서관리 등 자체적으로 만든 컨트롤인 경우 더욱 심각 2) 외부 위협 · 임/직원이 웹서핑 중 설치한 컨트롤에 취약점이 존재 · 메신저, 게임, 지도 서비스 사이트, 언론 사이트 등 메이저 사이트에서 배포하는 ActiveX 컨트롤에서 다수 취약점 존재 · 한 PC가 공격되면 해당 PC를 숙주로 내부망 침투 가능 |
ActiveX 사고 사례
· 2002년 이후 발견되는 애드웨어의 상당수는 ActiveX나 IE의 취약점을 이용하기 때문에 ‘확인’버튼을 누르지 않아도 자동 설치 · 웹서버 해킹 후 해킹툴/트로이목마 배포, 배포되는 트로이목마는 IE ActiveX 컨트롤 취약점을 이용해 자동으로 PC에 설치 · 대부분의 은행에서 배포하는 ActiveX 컨트롤에 취약점 존재 · 국내 유명 멀티미디어 재생기 (곰플레이어) ActiveX 취약점 해외 보안 사이트에 공개 · 국내 ○○소프트社 ActiveX 안티바이러스 제품 취약점 및 공격 코드가 해외 취약점 공개 사이트 (milw0rm, secunia)에 공개 · 국내 ○○커뮤니케이션 대표가 웹브라우저 사용 시 특정 사이트로 접속을 유도하는 ‘툴바’와 ‘루트킷’을 포함한 악성코드를 ActiveX 형태로 포털 등을 통해 무단 배포, 1140만 명의 PC 감염 · Adobe 社 Flash Player ActiveX 취약점을 악용하여 국내 다수 PC 감염 · MS社 윈도우즈 비디오스트리밍 (MPEG2Tune Request) ActiveX 취약점을 악용하여 국내 다수 PC 감염 |
ActiveX 취약점 유형
· File read/write method 이용 · File operation 기능을 우회하여 임의의 경로에 있는 임의의 파일을 읽고 쓸 수 있음 · 자동 업데이트 기능 관련 취약점 · 업데이트 서버 URL을 조작하여 공격자의 해킹 툴이 설치되게 함 · 이외의 시스템 자원 접근을 이용한 권한 획득 · 폐쇠망에서 운용되는 폐쇄 도메인 관련 취약점 |
ActiveX 취약점 유형
취약점 찾기 ▷ 함정 설치 ▷ 열람/공격 성공 ▷ 백도어 실행 · ActiveX 컨트롤 취약점을 찾은 후 공격용 스크립트를 작성합니다. · 취약점 공격용 스크립트가 숨겨진 메일을 무작위로 보냅니다. (정보 유출이 목적인 경우 지정된 사람에게 메일을 발송함) · 희생자가 메일을 여는 순간 백도어 프로그램이 설치 · 취약점을 공격하는 것이므로 첨부파일 등은 실행할 필요가 없음 (스크립트는 희생자에게 보이지 않아 대부분 공격 사실을 모름) · 공격자는 희생자 PC의 제어권을 얻게 되어 PC 내의 기밀 자료를 가져올 수 있으며 사용자 화면 엿보기가 가능 · 스팸 메일 및 다른 PC 해킹 경유지로 사용 가능 대응 방안 · 웹 지도 서비스 용 ActiveX 컨트롤 · ActiveX 도입 전 충분한 보안성 검토 · ActiveX Control 개발시 내부 파일 접근 함수 사용 제한 및 보안성 검토 · 신뢰하지 않는 사이트, 파일, 이미지 그리고 문서에 대한 열람 금지 · 개인 방화벽 활성화로 인한 2차 공격 대응 (키로깅, 백도어, 악성코드 감염 대응) · 중앙 모니터링과 미확인된 안전하지 않은 ActiveX는 사전 통제 필요 (화이트리스트 통제 관리) |