안녕하세요? 이스트소프트 보안대응팀입니다.

윈도우의 도움말 및 지원센터(Help and Support Center)에서 원격코드 실행이 가능한 보안 취약점이 발견되었습니다. 현재 Microsoft 사에서 제공되는 공식적인 보안 패치가 없는 제로데이 상태이며, 이번 취약점을 악용한 악성코드가 출현할 수 있으므로 PC 사용자들의 주의가 필요합니다. 또한, 출처가 불명하거나 수상한 파일은 절대로 열지 말고 삭제하며 알약의 실시간 감시를 반드시 활성화시켜둡니다.

[취약 제품 버전]

Windows XP Service Pack 2~3 (x86, x64 CPU 환경 포함)
Windows 2003 (x86, x64, itanium CPU 환경 포함)

※ Windows 2000, Vista, 2008, 7는 이번 취약점에서 해당되지 않는 OS입니다.
취약점 : CVE-2010-1885

[상세정보]

윈도우의 도움말 및 지원센터(Help and Support Center) helpctr.exe에서 UrlUnescape 함수는 -FromHCP 옵션을 사용한 화이트리스트 제한을 건너 뛸 수 있는(bypass) 취약점이 존재합니다.
이외에도 sysinfo/sysinfomain.htm에서 XSS(Cross Site Scriprting) 취약점도 존재하여 privileged zone에서 악성 스크립트 코드를 실행할 수 있습니다.

[임시 조치법]

HCP Protocol 레지스트리 등록을 해제하는 작업을 수행해야합니다.

① 명령 프롬프트(cmd.exe)나 시작 메뉴의 "실행"에서 아래의 명령어를 실행해 HCP Protocol 레지스트리를 백업해둡니다.
Regedit.exe /e HCP_Protocol_Backup.reg HKEY_CLASSES_ROOT\HCP

② 메모장에서 아래 내용을 입력한 후 파일 이름 + .reg 확장자로 저장합니다.
예를 들어, Disable_HCP_Protocol.reg 이름으로 저장 Windows Registry Editor Version 5.00
[-HKEY_CLASSES_ROOT\HCP]

③ 메모장 입력 후 저장한 레지스트리 값을 적용합니다.
Regedit.exe /s Disable_HCP_Protocol.reg

※ HCP Protocol의 복원 방법
백업한 HCP Protocol 레지스트리 파일을 이용해 복원을 진행합니다.
Regedit.exe /s HCP_Protocol_Backup.reg을 실행합니다.

[참고 사이트]

http://www.microsoft.com/technet/security/advisory/2219475.mspx
http://www.us-cert.gov/current/index.html#microsoft_windows_help_and_support