한국시각으로 2010년 9월 14일 어도비(Adobe)에서는 자사에서 개발한 플래쉬 플레이어(Flash Player) 10.1.82.76 이하 버전에 알려지지 않은 제로 데이(Zero Day, 0-Day) 취약점이 존재하며 해당 취약점을 악용한 보안 위협이 발생하였다고 어도비 보안팀 블로그 "Security Advisory for Adobe Flash Player (APSA 10-03)"와 함께 보안 권고문 "Security Advisory for Flash Player"을 공개하였다.


이 번에 발견된 어도비 플래쉬 플레이어에 존재하는 제로 데이 취약점을 악용한 보안 위협은 어떠한 방식으로 진행되었는가는 알려져 있지 않다.

ASEC에서는 해당 제로 데이 취약점을 악용한 플래쉬 플레이어 파일인 SWF 파일에 대한 상세한 분석을 진행 중에 있으며 추가적으로 분석되는 사항들이 있으면 업데이트 할 예정이다.

그리고 현재까지 파악된 사항으로는 취약한 SWF 파일이 취약한 플래쉬 플레이어 버전을 사용하는 시스템에서 실행 될 경우 아래 이미지와 같이 미국에 위치한 시스템에서 특정 파일을 다운로드 하게 된다.


다운로드 된 파일은 아래 이미지와 같이 단순한 데이터 파일로 보여지지만 특정 키 값으로 XOR 인코딩되어 있는 파일이며 해당 파일을 디코딩하게 되면 정상적인 PE 파일이 생성된다.


다운로드 되어 디코딩된 파일은 감염된 시스템에서 개인 정보 유출과 원격 제어 등을 수행 할 수 있는 백도어의 한 종류이다.

이 번 어도비 플래쉬 플레이어에 존재한 알려지지 않는 제로 데이 취약점을 악용한 악성코드들은 V3 제품군에서 다음과 같이 진단한다.

Win-Trojan/Poison.27136.Q
SWF/Cve-2010-2884

현재 어도비에서는 이 번에 발견된 제로 데이 취약점에 대한 보안 패치를 2010년 9월 27일경 배포 할 예정이라고 한다.

취약한 플래쉬 플레이어가 설치되어 있는 컴퓨터 사용자는 출처가 의심스러운 아크로뱃 리더(Acrobat Reader) 파일인 PDF를 함부로 열거나 웹 사이트 방문을 자제하는 중요하다.

Posted by AhnLab_ASEC