마이크로소프트(Microsoft)에서는 8월 15일 7월 한 달간 발견된 해당 업체에서 개발한 보안 취약점들을 제거하는 보안 패치를 배포하였다. 이번 8월에 배포된 보안 패치 중에는 "MS12-060 - Windows 공용 컨트롤의 취약점으로 인한 원격 코드 실행 문제점 (2720573)"가 포함되어 있으며, 마이크로소프트에서 개발한 오피스(Office) 제품과 관련된 취약점이다.


해당 취약점에 대해 마이크로소프트는 별도의 블로그 "MS12-060: Addressing a vulnerability in MSCOMCTL.OCX's TabStrip control"를 통해 해당 MS12-060 보안 패치가 제거하는 보안 취약점 CVE-2012-1856을 악용한 타겟 공격(Targeted Attack)이 발견되었음도 같이 공개하였다.


ASEC에서는 이와 관련하여 추가적인 정보들을 수집하는 과정에서 해당 타겟 공격에 실제 악용된 것으로 알려진 악성코드를 확보하였다.


CVE-2012-1856 취약점을 악용한 타겟 공격은 이메일의 첨부 파일로 아래 이미지와 동일한 RTF(Rich Text Format)이 첨부되어 유포된 것으로 알려져 있다.



해당 CVE-2012-1856 취약점은 RTF 파일 내부에 포함되어 있는 엑티브엑스(ActiveX) 오브젝트에 의해 엑티브엑스 오프젝트 처리와 관련되어 있는 MSCOMCTL.OCX 파일의 메모리 엑세스 오류(Memory Access Error)가 발생하게 되며, 이로 인해 임의의 코드 실행이 가능해지는 취약점이다.


이 번에 발견된 CVE-2012-1856 취약점을 악용하는 RTF 파일은 V3 제품군에서는 다음과 같이 진단한다.


Dropper/CVE-2012-1856


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/DOC.AccessViolation-DE


현재까지도 해당 타겟 공격과 관련된 공격 기법에 대해 자세한 정보들은 공개되지 않은 상황이나, 실제 공격에 악용된 사례가 발견된 만큼 마이크로소프트에서 제공하는 보안 패치 MS12-060을 설치하여 다른 보안 위협에서 해당 취약점을 악용할 경우를 대비하는 것이 중요하다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원