CVE-2010-0806: Internet Explorer Peer Objects Use-After-Free 취약점 대응 가이드

취약점 개요

CVE-2010-0806은 Microsoft Internet Explorer 6, 6 SP1, 7 버전의 Peer Objects 컴포넌트(iepeers.dll)에서 발생하는 Use-After-Free 취약점이다. 2010년 3월 실제 악용이 확인되었으며, 사용자가 특수하게 제작한 웹페이지를 볼 때 원격 코드 실행(RCE)이 가능하다. 이 취약점은 CISA의 Known Exploited Vulnerabilities Catalog에 포함된 지속적인 위협으로, MS10-018 보안 업데이트로 패치되었다.

CVE-2010-0806은 2010년에 발견된 취약점으로, 당시 CVSS v2 기준으로 평가되었다. CVSS v3.1 체계는 나중에 도입되었으므로 이 취약점에 대한 점수는 CVSS v2를 기준으로 확인해야 한다.

기술적 분석

취약점 원리

이 취약점은 Internet Explorer의 Peer Objects 컴포넌트(iepeers.dll)에서 발생한다. IE가 특정 HTML 요소(DHTML Behaviors 또는 사용자 정의 태그)를 처리할 때 메모리에 C++ 객체를 생성한다. 특정 조건에서 공격자는 JavaScript DOM 조작 등을 통해 peer 객체를 삭제하면서 다른 이벤트 핸들러가 해당 객체를 참조하고 있는 상태를 유지할 수 있다. 객체 메모리가 해제된 후, 적절한 검증 없이 덩글링 포인터가 나중에 역참조(dereference)된다.

공격 시나리오

1. 힙 스프레이(Heap Spraying): 공격자는 JavaScript를 사용하여 해제된 메모리와 동일한 메모리 위치에 공격자 제어 데이터(NOP sled 및 shellcode 포함된 배열 등)를 할당한다.
2. 객체 해제: 특정 DOM 조작을 통해 peer 객체를 삭제하면서 다른 이벤트 핸들러가 해당 객체를 계속 참조하도록 유도한다.
3. 가비지 컬렉션 트리거: CollectGarbage()를 호출하여 객체 삭제를 강화한다.
4. 포인터 역참조: 브라우저가 나중에 가상 함수를 호출하거나 해제된 객체의 멤버에 접근할 때, 실행 흐름이 공격자의 shellcode로 리디렉션된다.

이 use-after-free 취약점은 공격자가 해제된 메모리를 제어할 수 있게 하며, 원격에서 임의 코드 실행이 가능하다.

영향 범위

영향받는 제품:
- Internet Explorer 6
- Internet Explorer 6 Service Pack 1
- Internet Explorer 7

영향받지 않는 제품:
- Windows 7, Windows Server 2008 R2
- Internet Explorer 8 이상 버전

영향력:
- 사용자 권한으로 원격 코드 실행 가능
- 시스템 완전 장악: 악성코드 설치, 자격증명 탈취, 관리자 계정 생성, 네트워크 피싱 가능

실제 공격 사례

2010년 3월 실제 악용

CVE-2010-0806은 2010년 3월 실제 야생에서 악용되었다. 공격자들은 이 취약점을 이용하여 다음과 같은 공격을 수행했다:
- Drive-by Download Attacks: 악성 웹사이트 방문 시 자동으로 악성코드 다운로드 및 실행
- 피싱 이메일: 악성 링크가 포함된 이메일 클릭 시 악성코드 실행
- 랜섬웨어 배포: 취약점 악용 시스템에 백도어, 키로거, 랜섬웨어 설치

Aurora 공격과 유사성

이 취약점의 악용 사례는 타깃팅된 Aurora 공격 사례와 유사한 패턴을 보였다. Aurora 공격에서 사용된 악용 기법들이 웹 익스플로잇 키트(web exploit kits) 작성자들에 의해 대규모 웹 공격에 사용되기 위해 빠르게 채택되었다. 중국은 2010년 4월 랜섬웨어 공격으로 가장 큰 피해를 입었으며, 전체 랜섬웨어 공격의 22%가 중국에서 발생했다.

Sykipot 캠페인 연관

CVE-2010-0806은 Operation Aurora와 관련된 공격 캠페인에서도 사용된 것으로 알려져 있다. Sykipot 공격은 2006년부터 추적되며, 중국 모리를 가진 그룹에 의해 수행되었다. 공격자들은 특수하게 제작된 링크 또는 JavaScript가 포함된 이메일을 발송하여 지적 재산(디자인, 금융, 제조 또는 전략 계획 정보)을 탈취했다.

패치 정보

Microsoft Security Bulletin MS10-018

발행일: 2010년 3월 30일
보안 업데이트: Cumulative Security Update for Internet Explorer (980182)
추천: 즉시 패치 적용

해결된 취약점:
MS10-018은 10개의 취약점(CVE-2010-0806 포함)을 해결하는 누적 보안 업데이트다. CVE-2010-0806 외에도 다른 9개의 취약점이 포함되어 있다.

즉시 대응 조치 및 완화 방안

즉시 대응 (24시간 이내)

1. 보안 업데이트 적용: Microsoft Update 또는 WSUS를 통해 MS10-018 누적 보안 업데이트 즉시 설치
2. Internet Explorer 업그레이드: Internet Explorer 8 이상 버전으로 업그레이드(IE 8은 이 취약점의 영향을 받지 않음)
3. 스크립트 비활성화: 인터넷 영역에서 활성 스크립팅 비활성화 또는 향상된 보안 구성 사용

단기 대응 (72시간 이내)

1. DEP(데이터 실행 방지) 활성화: DEP 가능한 시스템에서 활성화
2. ASLR(주소 공간 레이아웃 무작위화) 활성화: ASLR 지원 시스템에서 활성화
3. EMET(향상된 완화 도구 키트) 배포: EMET을 사용하여 use-after-free 패턴 차단

장기 대응 (1주 이내)

1. 브라우저 마이그레이션: IE 6/7에서 최신 브라우저(Chrome, Firefox, Edge 등)로 마이그레이션
2. 보안 정책 업데이트: 웹 브라우징 및 이메일 보안 정책 강화
3. 사용자 교육: 의심스러운 링크 클릭 방지, 정기적 보안 업데이트 중요성 교육

CISA BOD 22-01 준수

CISA는 2026년 5월 20일 CVE-2010-0806을 Known Exploited Vulnerabilities Catalog에 추가했다. 미국 국방 시민 시스템(FCIV)에서 BOD 22-01에 따라 이 취약점을 즉시 완화해야 한다. 벤더 지침에 따른 완화 조치, 클라우드 서비스에 대한 BOD 22-01 가이드라인 준수, 또는 완화 조치가 불가능한 경우 제품 사용 중단이 필요하다.

참고문헌

1. NVD (National Vulnerability Database)
   https://nvd.nist.gov/vuln/detail/CVE-2010-0806

2. Microsoft Security Bulletin MS10-018
   https://learn.microsoft.com/en-us/security-updates/securitybulletins/2010/ms10-018

3. CISA Known Exploited Vulnerabilities Catalog
   https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2010-0806

4. Microsoft Security Advisory 981374
   https://blogs.technet.com/msrc/archive/2010/03/09/security-advisory-981374-released.aspx

5. Zero-day.cz Database
   https://www.zero-day.cz/database/88/

본 콘텐츠는 AI 기술로 작성된 분석 리포트를 포함하고 있습니다. 내용 중 사실과 다르거나 보완이 필요한 정보를 발견하셨다면 댓글을 통해 소중한 의견 부탁드립니다. 여러분의 피드백은 더 정확한 보안 정보 공유에 큰 도움이 됩니다.