마이크로소프트 윈도우 8.1 및 이전 버전, 인터넷 익스플로러 6~11에서 XMLDOM XML 주입 취약점에 노출됨

인도 컴퓨터 비상 대응 팀(Cert-In)은 마이크로소프트 윈도우 8.1 및 이전 버전이 XMLDOM ActiveX 컨트롤에 존재하는 취약성으로 인해 위험에 처해 있다고 경고했습니다. 이 취약성은 인터넷 익스플로러 6~11 버전을 통해 실행될 수 있습니다. 해커/공격자는 이 취약성을 이용해 XMLDOM XML 코드를 주입하고 윈도우 PC 사용자의 개인 정보를 얻거나 윈도우 PC를 좀비 컴퓨터로 만들어 웹사이트에 대한 DoS 또는 DDoS 공격에 참여시킬 수 있습니다.

Cert-In에 의해 이 취약성이 심각한 것으로 분류되었지만, CXSecurity의 연구자는 이것이 중간 낮은 수준의 취약성일 수 있다고 말했습니다. CXSecurity 연구자가 제공한 전체 코드를 재현합니다 :

위 코드는 cxsecurity.com의 제공으로 인쇄되었습니다.

두 가지 취약성은 다음과 같이 분류되었습니다 :

1. 정보 유출 취약성 (CVE-2013-7331)

• 이 취약성은 XMLDOM ActiveX 컨트롤이 웹사이트 운영자에게 컴퓨터 시스템에 대한 정보를 유출할 수 있는 메서드를 포함하고 있기 때문에 존재합니다. 원격 공격자는 사용자가 특별히 제작된 웹페이지를 방문하도록 유도하고 생성된 오류 코드를 검사하여 로컬 드라이브 문자, 파일 및 디렉토리 이름과 같은 민감한 정보를 얻기 위해 이 취약성을 악용할 수 있습니다.
• Cert-in은 이 취약성이 실제로 악용되고 있다고 말했지만, CXSecurity는 이것이 단지 미미한 악용으로 이어질 수 있다고 말합니다.

2. 서비스 거부 취약성 (CVE-2013-7332)

• 이 취약성은 엔티티 확장 중 재귀를 잘못 감지하여 발생합니다. 원격 공격자는 사용자가 많은 수의 중첩된 엔티티 참조를 포함하는 제작된 XML 문서를 방문하도록 설득하여 메모리 및 CPU 소비를 초래하고 서비스 거부 조건(DoS)을 발생시킬 수 있습니다. 그런 다음 해당 기계는 서비스 거부(DoS) 공격을 시작하거나 전용 분산 서비스 거부(DDoS) 공격을 위해 ‘좀비 컴퓨터’로 전환될 수 있습니다.*
• 현재 마이크로소프트는 이 취약성에 대한 수정/패치를 발표하지 않았지만, 컴퓨터를 보호하고 싶다면 사용할 수 있는 우회 방법이 있습니다. 인터넷 익스플로러 설정에서 인터넷 및 로컬 인트라넷 보안 영역 설정을 ‘높음’으로 설정해야 합니다. 그러면 XMLDOM ActiveX 컨트롤과 액티브 스크립팅이 모두 비활성화되어 스크립트가 실행될 수 없습니다.