안철수연구소 ASEC에서는 2010년 10월 27일인 어제 노벨 평화 상(Nobel Peace Prize) 웹 사이트에서 웹 브라우저(Web Browser)인 파이어폭스(Firefox)에 존재하는 알려지지 않은 제로 데이(0-Day, Zero-Day) 취약점을 악용하여 악성코드를 유포한 사고가 발생한 사실을 전한 바가 있다.

파이어폭스에 존재하는 알려지지 않은 제로 데이 취약점은 힙 스프레이(Heap Spray) 버퍼오버플로우(BufferOverflow)를 이용한 코드 실행 취약점으로 분석된다.

이 번에 발견된 해당 웹 브라우저의 제로 데이 취약점을 악용하는 자바 스크립트(Java Script)는 아래 이미지와 같은 쉘코드(Shellcode)를 포함하고 있다.



그리고 해당 제로 데이 취약점을 악용하기 위한 대상으로는 아래 이미지와 같은 코드에서 처럼 마이크로소프트(Microsoft) 비스타(Vista) 운영체제 이하 버전의 운영체제에 설치 되어 있는 파이어폭스 3.6 버전들을 대상으로 하고 있다.


함께 다운로드된 악성코드(scvhost.txt)는 힙 스프레이(Heap Spray) 버퍼오버플로우(BufferOverflow)를 이용해 scvhost.exe 라는 파일명으로 윈도우 임시 폴더(%temp%)에 복사한 후 실행하도록 구성되어 있다.


자바 스크립트에 의해 파일이 생성될 경우에는 scvhost.exe이지만 트로이목마 단독으로 실행 될 경우에는 symantec.exe 파일명으로 자신이 복사된다.


이 번 파이어폭스에서 발견된 제로 데이 취약점을 악용하는 자바 스크립트 악성코드는 V3 제품군에서 다음과 같이 진단한다.

JS/Belmoo

그리고 네트워크 보안 제품인 TrusGuard 제품군에서는 다음의 시그니처명으로 해당 제로 데이 취약점 탐지 가능하다.

mozilla_firefox_zeroday_exploit(HTTP)

현재 파이어폭스에서 발견된 제로 데이 취약점을 제거 하기 위해 모질라(Mozilla)에서는 보안 권고문 "Mozilla Foundation Security Advisory 2010-73 (CVE-2010-3765)"을 게시하고 해당 제로 데이 취약점을 제거 한 버전인 3.6.12 버전과 3.5.15 버전을 배포 중에 있다.

그러므로 파이어폭스 사용자는 지금 즉시 파이어폭스 3.6.12 버전 또는 파이어폭스 3.5.15 버전으로 업데이트하여 해당 취약점으로 인한 피해를 사전에 예방하기 바란다.
Posted by AhnLab_ASEC